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在 作者 多 年 的 职 教 经 验 中 ， 学 生 最 大 的 几 个 疑问 就 是 “学 了 有 用 吗 ? ”“ 我 能 学 会 
吗 ? ”“ 学 了 就 落伍 怎么 办 ? ” 

1. 怎么 让 学 生 学 了 有 用 

本 书 采用 了 项 目 导向 式 的 教学 体系 ， 选 取 了 最 新 版 本 的 CentOS 7 网 络 操作 系统 ， 对 企 
业 中 最 常用 到 的 技能 进行 取材 和 做 项 目 情境 设计 ， 体 现 了 “学 中 做 、 做 中 学 ”的 职业 教育 
理念 ， 通 过 必要 的 实践 ， 让 学 生 掌 握 工 作 必 备 的 实用 技能 。 

2. 学 生 能 学 会 吗 

通过 对 实用 技能 的 解析 ， 以 能 用 、 够 用 为 基准 ， 最 大 化 精简 知识 体系 ， 极 大 地 降低 了 
学 生 的 学 习 难度 。 而 “学 中 做 、 做 中 学 ”的 技能 训练 模式 ， 可 以 保证 每 个 学 生 都 能 学 会 。 

3. 学 了 就 落伍 怎么 办 

计算 机 技术 的 发 展 日 新 月 异 ， 要 保证 学 习 到 的 知识 不 落伍 ， 需 要 的 是 终身 学 习 的 能 力 
和 对 新 技术 的 喜好 与 追求 。 本 书 不 能 让 你 永 不 落伍 ， 但 是 会 锻炼 学 生 学 习 的 本 领 ， 重 视 学 
生 学 习 兴 趣 的 培养 ， 启 迪 学 生 探索 未 知 ， 提 高 独立 或 协作 解决 问题 的 能 力 。 

4. 本 书 分 为 六 个 项 目 


项 目 一 : Linux 系统 的 安装 和 基本 配置 。 该 项 目 主要 讲解 网 络 操作 系统 相关 知识 、 在 
虚拟 机 上 安装 CentOS Linux、 使 用 命令 行 管理 方式 进行 系统 管理 以 及 对 系统 基本 配置 进行 
管理 的 内 容 。 

项 目 二 : 常用 服务 的 配置 和 使 用 。 该 项 目 主要 讲解 服务 器 和 服务 器 软件 的 相关 知识 ， 
配置 DNS 和 DHCP 服务器、 配置 Web 服务 器 以 及 搭建 LAMP 应 用 环境 等 的 知识 内 容 。 

项 目 三: 服务 器 的 日 常 管理 和 运 维 。 该 项 目 主 要 讲解 服务 器 的 日 常 管理 、 远 程 管理 、 
数据 的 备份 管理 以 及 管理 中 的 简单 编程 技巧 。 

项 目 四 : 服务 器 的 安全 管理 。 该 项 目 主要 讲解 服务 器 安全 管理 、 账 号 安全 和 权限 管 
理 、 防 火 墙 管理 的 相关 内 容 。 

项 目 五 ， 云 平台 的 使 用 。 该 项 目 主要 讲解 云 技术 的 知识 和 如 何 搭建 OwnCloud 私有 存 
储 云 。 
项 目 六 : 综合 实 训 。 该 项 目 主要 通过 典型 实 训 任务 ， 让 学 生 综合 实践 前 面 所 学 的 内 
容 ， 以 达到 真正 掌握 技能 的 目的 。 

本 书 在 任务 内 容 选 取 上 ， 以 命令 行 管理 配置 为 中 心 ， 从 Linux 系统 的 安装 和 基本 配置 
开始 ， 历 经 LAMP 应 用 环境 的 搭建 、 服 务 器 的 日 常 管理 和 运 维 、 服 务 器 的 安全 管理 ， 初 步 
接触 云 平台 的 使 用 ， 最 后 从 项 目的 全 景 中 ， 剖 析 服 务 器 的 角色 定位 ， 通 联 点 与 面 ， 部 署 综 
合 实 训 任务 。 
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项 目 导 入 


小 刘 作 为 某 公司 的 网 络 管理 员 ， 其 中 一 项 工作 任务 是 负责 管理 和 维护 公司 的 网 站 。 要 
发 布 网 站 ， 他 需要 先 安装 一 台 服务 器 ， 作 为 网 站 的 基础 运行 平台 。 经 过 分 析 ， 他 选择 了 安 
装 CentOS 网 络 操作 系统 ， 并 在 VMware 虚拟 机 上 额外 安装 一 台 服 务 器 作为 公司 网 站 发 布 
的 测试 平台 。 


项 目 分 析 


网 站 是 每 个 公司 在 互联 网 上 的 门面 和 沟通 交流 渠道 ， 是 每 个 公司 业务 的 重要 环节 。 对 
于 管理 员 来 说 ， 管 理 网 站 是 一 项 必 备 的 技术 能 力 和 和 要求。 完成 一 台 Linux 服务 器 的 安装 任 
务 ， 是 成 为 一 个 合格 网 络 技 术 人 员 的 第 一 步 。 

网 站 一 旦 上 线 提供 服务 ， 对 它 进行 维护 更 新 就 要 慎重 。 每 次 对 网 站 进行 维护 升级 操 
作 ， 都 要 在 测试 服务 器 上 先 配置 并 测试 通过 后 再 在 正式 服务 器 上 实施 ， 不 然 如 果 出 现 意 
外 ， 就 会 对 公司 造成 恶劣 影响 。 而 且 事 前 测试 不 仅 可 以 查 错 纠 错 ， 还 可 以 对 整个 操作 流程 
的 耗 时 和 可 能 出 现 的 问题 请 熟 于 心 ， 这 样 可 以 比较 准确 地 预 估 维 护 的 时 间 ， 保 证 维护 可 以 
按时 保质 完成 。 

对 于 管理 员 来 说 ， 有 些 时 候 ， 一 次 严重 失误 就 可 能 导致 职业 生涯 提前 结束 ， 这 也 是 每 
个 网 管 都 会 配置 测试 服务 器 的 原因 。 很 多 企业 都 没有 富余 的 服务 器 专门 用 来 做 测试 ， 所 
以 ， 庶 拟 机 就 是 绝 大 多 数 网 管 的 最 佳 选择 。 

虚拟 机 的 另 一 个 重大 作用 ， 就 是 用 于 实现 对 新 知识 的 学 习 。 在 虚拟 机 上 ， 可 以 根据 需 
要 仿真 环境 而且 可 以 尝试 各 种 操作 ， 与 真正 的 服务 器 并 没有 什么 区 别 ， 还 不 用 担心 造成 
严重 的 后 果 ， 因 为 很 容易 就 可 以 恢复 系统 。 目 前 ， 随 着 云 主 机 逐渐 普及 ， 虚 拟 机 的 使 用 会 
越 来 越 普遍 。 

本 项 目 首先 介绍 常用 的 网 络 操作 系统 以 及 应 如 何 选 择 适 合 的 网 络 操作 系统 ; 接 下 来 介 
绍 如 何在 VMware 虚拟 机 上 安装 CentOS 7 系统 ; 最 后 介绍 如 何在 命令 行 模式 下 对 系统 进 
行 管理 的 基本 方法 。 

能 力 目标 

能 够 根据 实际 需要 选择 合适 的 操作 系统 。 

掌握 VMware 虚拟 机 的 创建 、 配 置 和 使 用 的 基本 方法 。 

能 在 VMware 虚拟 机 上 完成 系统 的 安装 任务 。 

掌握 使 用 命令 行 管理 方式 进行 系统 管理 的 基本 方法 。 

知识 目标 

了 解 操作 系统 的 基本 知识 ， 熟 悉 主 要 的 网 络 操作 系统 。 

了 解 常见 的 Linux 发 行 版 。 

了 解 CentOS 网 络 操作 系统 的 基本 知识 。 
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任务 一 : 选择 适合 的 网 络 操 作 系 统 
在 这 一 部 分 中 ， 我 们 要 关注 三 个 问题 ,操作 系统 是 什么 ?为 什么 要 使 用 操作 系统 ? 怎 
样 选择 适合 自己 的 网 络 操作 系统 ? 
知识 储备 
1.1 网 络 操作 系统 概述 


1.1.1 操作 系统 与 网 络 操作 系统 


操作 系统 (Operating System，OS) 是 安装 在 计算 机 设备 上 的 软件 ， 用 于 实现 对 底层 硬件 
的 管理 ， 并 提供 接口 服务 给 用 户 ， 从 而 使 得 用 户 可 以 通过 接口 来 操作 和 控制 计算 机 。 

没有 安装 操作 系统 的 计算 机 被 称 为 “ 裸 机 ”， 即 只 有 硬件 ， 它 无 法 正常 接收 和 识别 用 
户 的 输入 指令 ， 也 就 无 法 正常 工作 。 所 以 ， 要 为 每 一 台 计 算 机 安装 操作 系统 软件 ， 这 样 才 
能 使 计算 机 变 成 人 类 的 好 帮手 。 操 作 系统 的 整体 概念 如 图 1-1 所 示 。 





1-1 操作 系统 OS 


网 络 操作 系统 (Network Operating System，NOS)， 就 是 具备 网 络 功 能 的 操作 系统 。 通 
过 它 ， 人 们 就 可 以 彼此 联系 在 一 起 ， 如 图 1-2 所 示 。 





© 记 | @ 
和 Ca 
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网 络 左 万 现 络 此 万 


1-2 ”网 络 操作 系统 NOS 
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信息 时 代 是 一 个 网 络 互通 的 时 代 ， 每 个 人 的 计算 机 都 连接 到 互联 网 ， 再 连接 到 整个 世 
界 。 互 联网 把 全 世界 连 在 一 起 ， 我 们 接 入 网 络 ， 成 为 网 络 的 一 个 端点 。 与 我 们 通信 的 对 方 
是 接 入 网 络 的 其 他 端点 ， 连 在 我 们 之 间 的 就 是 这 个 覆盖 全 世界 的 互联 网 Intemet， 就 像 渔网 
一 样 ， 如 图 1-3 所 示 。 





1-3 互联 网 Internet 


流行 的 网 络 操作 系统 有 很 多 ， 其 中 流传 广 、 影 响 较 大 的 主要 有 Unix、Windows 和 
Linux 三 大 类 。 其 中 Unix 和 Linux 又 存在 着 千 丝 万 缕 的 联系 ， 所 以 ， 有 时 候 也 会 统称 为 类 
Unix 操作 系统 。 类 Unix 大 家 族 如 图 1-4 所 示 。 类 Unix 操作 系统 的 环境 、 应 用 软件 和 操作 
方法 近乎 相同 ， 掌 握 其 中 一 种 ， 那 么 ， 其 他 的 系统 也 就 可 以 轻松 上 手 了 。 


图 1-4 类 Unix 大 家 族 
1.1.2 Linux 网 络 操作 系统 的 诞生 


Linux 的 产生 ， 与 Unix 有 密切 的 关系 。Unix 操作 系统 诞生 于 1973 年 ， 后 来 ，Unix 开 
始 收回 版 权 ， 不 再 开源 ， 也 不 再 能 够 免费 使 用 。 目 前 ，Unix 的 免费 版 本 主要 是 FreeBSD。 
1984 年 ， 为 了 教学 需要 ， 大 学 教授 Andrew S. Tanenbaum 开发 了 x86 架构 的 Minix 操 
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作 系统 。1991 年 ， 芬 兰 大 学 生 Linus Torvalds 在 Minix 的 引导 下 开发 出 最 初 的 Linux。1994 
年 ，Linux 的 核心 正式 版 1.0 完成 ，Linux 逐渐 走向 普及 。 

Linus Torvalds 开发 的 只 是 操作 系统 中 最 重要 的 内 核 部 分 ， 作 为 操作 系统 软件 ， 还 缺少 
用 户 的 接口 和 一 些 必 要 的 工具 软件 。 目 前 ， 很 多 公司 都 在 从 事 这 项 “集成 ”工作 ， 他 们 把 
内 核 、 外 壳 ( 接 口 ) 和 各 种 软件 集成 打包 在 一 起 ， 这 些 集成 品 就 是 所 谓 的 “发 行 版 ”。 所 
以 ， 当 我 们 使 用 Linux 时 ， 要 注意 内 核 版 本 和 发 行 版 本 的 区 别 。 目 前 国内 比较 有 名 的 发 行 
版 有 红旗 Linux 等 ， 国 外 的 有 红帽子 Linux、Ubuntu Linux 等 。 


1.2 Windows 和 Linux 的 区 别 


























我 们 多 数 人 很 熟悉 Windows 操作 系统 ， 与 Windows 相 比 ， 我 们 有 什么 理由 去 选择 
Linux 操作 系统 呢 ? 


1.2.1 Windows 和 Linux 的 设计 思路 不 同 


从 设计 初 囊 上 说 ，Linux 和 Windows 就 完全 背道而驰 。 

Windows 设计 目的 ， 是 让 用 户 能 更 友好 地 使 用 系统 ， 得 到 最 好 的 用 户 体 验 ， 而 Linux 
则 聚焦 在 内 涵 ， 力 求 做 出 最 专业 的 系统 。 

众所周知 ，Windows 是 商业 化 系统 ， 获 得 用 户 喜爱 认可 非常 重要 ， 所 以 ，Windows 用 
户 才 会 遍及 全 球 ; 而 Linux 早期 几乎 是 黑客 专用 操作 系统 ， 所 以 专业 而 高 效 的 同时 ， 对 普 
通用 户 也 不 够 友好 。 为 了 能 够 普及 ，Linux 在 桌面 化 领域 做 了 大 量 的 工作 ， 现 在 Linux 桌 
面 发 行 版 的 用 户 体验 已 经 不 逊色 于 Windows 了 ， 如 图 1-5 所 示 。 








1-5 Windows 与 Linux 


Windows 和 Linux 的 区 别 同样 也 来 自 于 它们 对 自己 的 用 户 所 做 的 假设 完全 不 同 。 

对 于 Linux 用 户 ， 这 个 假设 是 : “Linux 用 户 知道 自己 想 要 什么 ， 也 明白 自己 在 做 什 
么 ， 并 且 会 为 自己 的 行为 负责 。” 

而 Windows 则 恰好 相反 : “Windows 用 户 不 知道 自己 想 要 什么 ， 也 不 明白 自己 在 做 什 
么 ， 更 不 打算 为 自己 的 行为 负责 。” 

以 这 两 种 不 同 的 思路 设计 出 的 系统 ， 一 个 是 “傻瓜 式 ” 的 用 户 易 用 系统 (Windows)， 


(sy. 
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容貌 美 ， 另 一 个 是 功能 卓越 的 “专业 式 ” 系 统 (Linux)， 内 心 美 。 对 Windows 和 Linux 的 假 
设 所 做 的 形象 化 描述 如 图 1-6 所 示 。 





Windows: Linux: 
我 来 帮 你 ， 给 你 一 切 
做 好 一 切 任 你 发 挥 


1-6 Windows 和 Linux 的 假设 


Windows 下 的 操作 对 于 用 户 来 说 很 贴心 ， 使 用 门槛 不 高 ， 基 本 上 大 家 都 会 使 用 。“ 简 
单 易 用 ”通常 就 是 Windows 留 给 我 们 的 印象 。 对 于 普通 用 户 家 用 、 娱 乐 用 来 说 ， 因 为 入 门 
简单 ，Windows 较为 适宜 。 这 一 点 ， 就 决定 了 即使 现在 Linux 桌面 版 的 用 户 体验 已 经 不 壕 
色 于 Windows 了 ， 却 也 无 法 撼动 Windows 已 经 拥有 的 海量 用 户 数 和 市 场 份额 。 

然而 ， 孩 子 早 晚会 长 大 。 长 大 了 ， 虽 然 他 还 会 喜欢 那个 曾经 帮 扶 过 他 的 系统 ， 但 是 ， 
这 也 不 影响 他 向 往 新 的 世界 。 在 Linux 的 世界 里 ， 他 可 以 拥有 一 切 ， 自 由 条 翔 。 

1.2.2 ”Linux 的 优势 


1. 客户 /服务 器 模式 


网 络 应 用 的 基本 运行 模式 是 客户 /服务 器 模式 ， 如 图 1-7 所 示 。 我 们 是 享受 服务 的 客 
户 ， 而 另 一 端 是 提供 服务 的 服务 器 。 


“ 重 
sf "于 


1-7 客户 /服务 器 模式 


加 








当 我 们 去 淘宝 网 站 购物 时 ， 我 们 是 顾客 ， 是 销售 服务 的 购买 者 ， 淘 宝 网 站 是 销售 服务 
ey. 
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的 提供 者 。 就 像 现实 中 的 大 商场 那样 ， 提 供 这 样 的 服务 需要 庞大 的 营业 面积 、 海 量 的 商 
品 、 专 业 化 的 团队 、 流 畅 的 进货 渠道 、 油 涌 的 人 流 等 ， 淘 宝 网 站 这 样 的 服务 提供 者 要 向 整 
个 互联 网 用 户 提供 服务 ， 它 也 需要 能 够 支撑 服务 的 服务 器 和 其 他 必需 的 资源 。 

虽然 互联 网 的 使 用 者 绝 大 多 数 是 普通 用 户 ， 但 是 ， 网 络 的 一 切 核 心 功能 都 是 运行 于 服 
务 器 的 ， 如 图 1-8 所 示 。 服 务 器 是 所 有 网 络 应 用 和 服务 的 支撑 平台 ， 对 于 互联 网 来 说 ， 服 
务 器 非常 重要 。 











1-8 服务 器 


2. Linux 的 优势 领域 

与 我 们 使 用 的 个 人 计算 机 相 比 ， 服 务 器 具备 更 快 的 速度 、 更 大 的 存储 、 更 安全 的 保障 
等 优良 的 性 能 。 为 了 支撑 庞大 的 业务 ， 或 者 出 于 灵活 性 、 经 济 性 等 因素 考虑 ， 现 在 各 种 网 
络 应 用 正在 逐渐 向 云 服务 平台 迁移 。 而 不 论 服务 器 还 是 云 服务 平台 ， 选 用 Linux 的 占据 主 
流 。 这 意味 着 ， 在 服务 器 和 云 服 务 平台 等 网 络 基础 设施 上 ，Linux 的 重要 性 远 远 超过 
Windows 和 其 他 操作 系统 。 
在 软件 开发 领域 ，Linux 的 使 用 率 也 非常 高 。 对 于 软件 开发 者 ， 开 源 免费 的 Linux 平 
台 和 海量 的 应 用 软件 及 开源 代码 ， 加 上 火热 的 社区 支撑 ， 给 程序 员 提供 了 一 条 永 无 止境 的 
通天 翻 翔 之 路 ， 吸 引力 远 超 Windows。 
在 移动 端 平 台 上 ， 多 数 也 是 基于 Linux 的 。 现 代 网 络 的 发 展 趋势 就 包括 应 用 中 心 化 和 
接 入 微型 化 ， 即 常 说 的 “和 胖 服务 器 ， 瘦 客户 端 ”。 互 联网 的 核心 应 用 和 数据 都 会 聚集 在 云 
中 ， 加 速 处 理 和 交换 ， 而 接 入 网 络 的 终端 会 越 来 越 小 巧 易 用 ， 例 如 手机 、 平 板 电脑 、 随 身 
手 环 、 电 子 眼 镜 等 。 这 些 新 领域 主要 都 是 基于 Linux 的 。 由 于 Linux 的 开源 和 免费 ， 发 展 
将 越 来 越 快 、 越 来 越 广 。 

另外 ， 通 常 基于 Linux 的 设备 会 比较 便宜 ， 而 Linux 的 知识 更 新 换代 较 慢 ， 学 习 的 性 
价 比 很 高 ， 所 以 也 会 吸引 很 多 人 学 习 和 使 用 ; 此 外 ，Linux 的 通用 性 也 非常 好 ， 在 几乎 所 
有 平台 上 都 有 极 佳 的 表现 。 

综合 看 ， 对 于 计算 机 专业 技术 人 员 来 说 ， 无 论处 于 哪个 技术 领域 ，Linux 都 是 必 学 的 
内 容 ， 除 了 家 用 娱乐 领域 ，Linux 在 大 多 数 其 他 领域 中 都 具备 优势 。 

当 我 们 说 到 Linux 的 时 候 ， 通 常 还 会 说 到 两 个 词 : 开源 、 自 由 。 















































了 
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简单 地 说 ，Linux 的 一 切 都 是 开放 的 ， 所 有 的 源 代码 你 都 可 以 免费 获取 ， 你 能 够 学 习 
到 一 切 想 学 习 的 内 容 ， 让 你 从 “菜鸟 ”一 直 升 级 到 “大 师 ”， 当 你 觉得 它 不 能 满足 你 的 要 
求 的 时 候 ， 你 可 以 在 它 的 基础 上 继续 创造 ， 无 数 的 志愿 者 会 帮助 你 测试 和 改进 ， 使 你 可 以 
更 快 地 实现 和 完善 它 ， 这 就 是 所 谓 的 “自由 ”精神 。 

Linux 通常 是 免费 的 ， 你 可 以 免费 下 载 ， 自 由 地 安装 使 用 ， 这 是 作为 商业 系统 的 
Windows 所 做 不 到 的 。 


1.2.3 ”为 什么 Windows 服务 器 仍 很 普遍 


对 比 Linux 和 Windows， 我 们 可 以 发 现 ， 除 了 家 用 娱乐 领域 、 桌 面 使 用 以 外 ， 
Windows 并 不 占有 优势 。 相 反 ， 在 几乎 所 有 专业 领域 ，Linux 却 都 具备 更 高 的 认可 度 。 

不 过 ， 在 中 小 型 企业 中 ，Windows 服务 器 操作 系统 的 选择 比 Linux 要 更 广泛 一 些 ， 这 
是 为 什么 呢 ? 

1. 程序 兼容 性 

真正 决定 选择 哪个 系统 的 因素 ， 还 要 考虑 开发 应 用 使 用 的 是 什么 语言 。 

如 果 你 的 网 站 很 简单 ， 那 么 选择 Linux 还 是 Windows 都 可 以 。 如 果 你 的 网 站 是 动态 语 
言 编程 的 ， 是 一 个 完整 交互 的 系统 ， 因 为 Linux 主机 和 Windows 主机 分 别 支持 不 同 的 程序 
语言 和 数据 库 ， 选 择 了 语言 环境 ， 也 就 等 同 于 选择 了 操作 系统 。 

Windows 服务 器 下 的 网 站 环境 主要 是 IIS + ASP.NET + SQL Server， 而 Linux 服务 器 下 
的 网 站 环境 主要 是 Apache + PHP + MySQL。 可 以 看 出 ， 如 果 应 用 是 PHP 开发 的 ， 就 会 选 
择 Linux; 如 果 应 用 是 ASP.NET 开发 的 ， 就 会 选择 Windows。 


2. 性 能 稳定 性 


服务 器 的 稳定 性 ， 简 单 地 说 ， 就 是 不 出 问题 ， 服 务 器 能 够 一 直 良 好 地 运行 ， 直 到 你 关 
闭 它 。 在 这 方面 ，Linux 的 评价 明显 占 优 。 

一 直 以 来 ， 普 遍 认为 Linux 系统 的 稳定 性 强 于 Windows 系统 。 其 一 是 因为 Linux 的 设 
计 比 Windows 更 先进 ， 整 体 性 能 完胜 Windows。 而 且 当 Windows 主机 配置 变化 的 时 候 ， 
通常 需要 重新 启动 ， 这 会 导致 不 可 避免 的 停机 ; 而 Linux 通常 不 需要 重启 ， 几 乎 所 有 的 
Linux 系统 配置 的 改变 都 能 在 系统 运行 中 完成 ， 而 且 还 不 会 影响 其 他 无 关 的 服务 。 种 种 优 
势 ， 都 成 为 Linux 支持 者 选择 Linux 服务 器 操作 系统 的 原因 。 

Windows 服务 器 操作 系统 的 选择 者 则 认为 ， 随 着 Windows 服务 器 的 不 断 完 善 ， 服 务 商 
提供 方案 的 成 熟 ， 这 种 差异 对 于 中 小 型 企业 用 户 来 说 ， 差 距 越 来 越 不 明显 。 而 此 时 ， 
Windows 服务 器 的 易 操 作 和 广泛 的 用 户 基础 则 更 为 瞩目 。 

由 于 大 多 数 桌 面 用 户 使 用 Windows 桌面 系统 ， 自 然 对 操作 类 似 的 Windows 服务 器 会 
更 加 喜爱 和 熟悉 ， 而 易学 易 用 的 管理 手段 降低 了 学 习 的 难度 ， 企 业 选 择 Windows 也 会 更 容 
易 招收 到 适合 的 技术 人 员 来 管理 和 维护 自己 的 网 络 。 

一 般 来 说 ， 每 半 个 月 Windows 服务 器 需要 重启 一 次 ， 运 行 三 个 月 的 时 间 基 本 上 肯定 是 
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要 重新 启动 的 ， 而 Linux 服务 器 在 稳定 性 上 则 要 好 得 多 ， 持 续 运 行 时 间 最 长 的 服务 器 据说 
有 些 已 经 超过 10 年 没有 重新 启动 了 。 虽 然 差别 明显 ， 但 是 ， 对 于 中 小 企业 来 说 ， 业 务 要 
求 通常 没 那么 高 ， 因 此 ， 即 使 是 半 个 月 就 要 重新 启动 维护 一 下 ， 也 没什么 不 能 接受 的 。 

3. 成 本 对 比 


Linux 通常 是 免费 、 开 源 的 ， 相 对 于 收费 的 正版 Windows 服务 器 系统 来 说 ， 要 便宜 很 
多 ， 所 以 安装 Linux 操作 系统 的 主机 的 价格 通常 都 比 Windows 主机 便宜 。 目 前 流行 的 虚拟 
服务 器 VPS， 在 价格 方面 ，Windows 主机 相对 来 说 也 要 贵 些 。Linux 也 有 不 少 商业 版 本 ， 
例如 Red Hat Linux， 售 价 很 便宜 ， 主 要 是 售后 服务 的 费用 ， 系 统 本 身 也 是 可 以 免费 下 载 和 
使 用 的 。 

不 过 ， 运 维 管理 人 员 的 支出 也 会 影响 企业 选择 ，Windows 平台 门槛 低 ， 招 人 容易 ， 工 
资 也 低 ， 所 以 很 多 中 小 企业 会 因此 选择 Windows 服务 器 。 毕 竟 ， 系 统 的 开销 是 一 次 性 的 ， 
而 工资 是 一 直 要 发 的 ， 这 样 对 于 企业 来 说 ， 总 的 花费 可 能 会 更 少 。 

对 于 中 小 企业 来 说 ， 增 加 专业 的 网 络 管理 人 员 是 一 笔 不 小 的 开支 ， 工 资 低 了 难以 招聘 
到 合格 的 员工 ， 而 且 员工 也 容易 跳槽 。 他 们 有 时 会 选择 把 网 络 业务 进行 外 包 ， 由 专门 的 网 
络 技术 公司 进行 代 管 ， 此 时 ， 选 择 Linux 会 更 为 适合 。 

实际 上 ，Linux 主机 和 Windows 主机 可 以 说 是 各 有 所 长 。 一 般 来 说 ， 选 择 操作 系统 
时 ， 第 一 要 考虑 的 通常 是 网 站 程序 的 兼容 性 ， 其 他 方面 两 个 系统 的 服务 都 是 差不多 的 。 

考虑 到 Windows 系统 的 易 操 作 性 和 桌面 系统 海量 用 户 带 来 的 辐射 效应 ， 很 多 企业 选择 
Windows 就 容易 理解 了 。 




















1.2.4 我们 身边 的 Linux 


虽然 我 们 刚刚 开始 学 习 Linux， 事 实 上 ， 对 Linux 我 们 并 不 陌生 。 在 我 们 身边 ， 每 天 
都 会 看 到 ， 每 天 都 会 遇 到 ， 每 天 都 会 用 到 Linux。 

坐 飞 机 ， 大 多 数 航 空 交通 控制 系统 采用 的 是 Linux 系统 ， 来 确保 航行 安全 ， 开 汽车 ， 
现在 路 上 跑 的 汽车 里 面 都 载 着 Linux。 

在 移动 终端 领域 ， 非 常 流行 的 Android 手机 系统 是 以 Linux 为 基础 ， 其 他 移动 设备 ， 
基本 上 也 都 是 以 Linux 系统 为 主流 。 

在 2009 年 第 一 季度 ， 当 时 Android 的 市 场 份额 只 有 1.6%， 而 截至 2016 年 ，Android 
手机 的 市 场 占 比 已 经 达到 差不多 90%， 而 iOS 排名 第 二 。Android 几乎 击败 了 除 iOS 外 所 
有 的 移动 操作 系统 。 

在 超级 计算 机 领域 ，Linux 系统 支撑 着 世界 上 大 多 数 的 超级 计算 机 。 在 最 新 的 世界 最 
快 超级 计算 机 排行 榜 上 ， 世 界 前 500 台 最 快 的 计算 机 里 ， 几 乎 所 有 的 计算 机 都 是 运行 
Linux 操作 系统 。 

在 网 站 和 服务 器 领域 ，Linux 支撑 着 大 多 数 的 Web 应 用 、 数 据 中 心 。 

在 云 计算 、 大 数据 领域 ， 作 为 其 支撑 的 数据 中 心 业务 这 些 年 藻 藻 日 上 ， 而 大 多 数 的 数 
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据 中 心 使 用 Linux 作为 其 底层 操作 系统 。 
另外 ， 几 乎 所 有 的 互联 网 公司 的 服务 器 都 大 量 使 用 Linux。 


1.3 Linux 和 Windows 的 故事 


Linux 和 Windows 是 服务 器 操作 系统 的 两 大 主流 系统 ， 是 一 对 竞争 对 手 ， 欢 喜 冤 家 。 
我 们 通过 了 解 两 大 系统 的 恩怨 情 仇 、 历 史 往事 ， 会 对 Linux 有 更 深刻 的 印象 。 


1，Linux 诞生 时 ，Windows 已 经 很 “ 牛 ” 


1991 年 ， 没 有 人 会 拿 一 个 芬兰 学 生 林 纳 斯 的 业余 项 目 跟 盖 茨 的 微软 帝国 做 比较 。 

Linux 诞生 的 时 候 ， 微 软 的 Windows 操作 系统 已 经 占据 超过 80% 的 市 场 份额 ， 微 软 的 
拳头 产品 Office 系列 三 大 应 用 Word、Excel、PowerPoint， 到 1998 年 已 经 获得 接近 100% 
的 市 场 占有 率 。 


2. Windows 瞄准 服 务 器 市 场 ， 被 时 代 宠儿 Linux 逆 交 


微软 从 1988 年 开始 开发 Windows 系统 的 服务 器 版 本 Windows NT，1993 年 面向 市 场 
发 售 。 

但 这 一 次 ，Windows 没有 像 早年 横扫 个 人 电脑 市 场 一 样 完全 拿 下 企业 服务 器 的 生意 。 
因为 在 这 时 候 ，Linux 聚集 的 志愿 开发 者 写 出 了 一 个 更 快 、 更 好 的 系统 。 坚 持 开 放 的 
结果 ， 虽 然 使 得 林 纳 斯 本 人 不 能 从 操作 系统 的 使 用 中 赚 到 钱 ， 但 却 让 更 多 人 加 入 进来 ， 完 
善 这 个 操作 系统 。 而 互联 网 的 兴起 ， 加 速 了 这 个 过 程 ，Linux 代码 刚 一 更 新 ， 就 能 够 以 极 
快 的 速度 在 全 世界 范围 内 进行 分 发 。 无 数 的 人 会 对 它 进行 测试 反馈 ， 然 后 再 改进 、 再 反 
馈 。 这 样 不 断 重复 、 再 重复 ， 依 托 互联 网 络 ， 奇 迹 就 出 现 了 。 

在 这 个 过 程 中 ， 诞 生 了 Red Hat 这 样 的 商业 公司 ， 所 发 行 的 企业 版 Linux 系统 可 以 通 
过 为 企业 提供 技术 支持 和 培训 来 获 利 。IBM、Sun 这 样 的 传统 科技 公司 也 给 予 Linux 更 多 
的 支持 。 到 现在 ，Linux 阵营 空前 强大 ， 甚 至 包括 微软 公司 自身 最 后 也 加 入 了 Linux 的 阵 
营 之 中 。 


3.，Linux 试图 占领 桌面 市 场 ， 却 最 终 失利 


1996 年 以 后 ，Linux 的 用 户 飙 升 。 对 于 拿 下 桌面 市 场 ， 开 源 社 区 一 度 非常 乐观 。 

为 了 打败 Windows， 很 多 程序 员 投入 桌面 版 的 开发 ， 试 图 做 出 更 漂亮 、 体 验 更 好 的 
Linux 界面 ，GNOME 和 KDE 就 是 最 有 名 的 两 个 图 形 界面 。 

虽然 各 方面 性 能 并 不 输 给 Windows， 但 与 Windows 系统 相 比 ，Linux 缺少 游戏 和 多 媒 
体 支 持 ， 很 多 商业 软件 也 不 具备 Linux 版 本 。 

最 终 ，Linux 的 努力 没有 能 真正 取代 Windows 进驻 办 公 桌 和 书房 里 的 电脑 。 

Linux 的 失利 不 是 自身 不 足 ， 而 是 缺少 市 场 的 支持 ， 在 桌面 市 场 ，Linux 终究 只 成 为 第 
二 选择 。 
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4. 微软 开始 了 霸权 之 战 ， 但 是 还 是 输 掉 了 互联 网 

1998 年 ， 微 软 的 内 部 参考 文件 一 一 “万 圣 节 文件 ”被 泄露 。 

文件 中 预测 ，Linux 不 可 能 威胁 Windows 在 桌面 电脑 上 的 份额 ， 但 它 会 威胁 微软 的 
Windows NT 服务 器 操作 系统 。 文 件 中 总 结 了 4 个 原因 。 

(1) Linux 对 机 器 配置 的 要 求 更 低 。 

(2) 由 于 Linux 是 延续 自 Unix， 因 此 系统 转换 成 本 更 低 。 

(3) Linux 的 可 扩展 性 、 互 操作 性 、 可 用 性 和 可 管理 性 都 更 好 。 

(4) 只 要 服务 和 协议 足够 通用 ，Linux 就 有 机 会 赢 。 

在 文件 里 提出 了 对 应 策略 : 一 是 传统 的 通过 营销 渠道 攻击 Linux 的 可 靠 性 和 安全 性 ， 
再 有 就 是 “打击 Linux 的 老巢 ， 通 用 的 网 络 和 服务 器 基础 设施 ”。 

文件 认为 微软 如 果 把 网 络 协议 抓 在 自己 手 上 ， 用 微软 主导 的 协议 取代 开放 协议 ， 提 升 
准 入 门槛 ， 就 能 打败 Linux。 

逐渐 地 ，Windows 和 Linux 之 间 的 战争 ， 变 成 了 一 个 由 微软 掌控 的 霸权 体系 对 阵 一 个 
开放 体系 的 抗衡 。 

这 其 实 不 是 一 场 公平 的 竞争 ， 但 是 ， 开 放 体 系 最 终 胜利 了 。 

Linux 以 及 配套 的 开源 软件 ， 最 终 成 为 网 站 和 互联 网 服务 开发 者 的 首选 。 很 长 一 段 时 
间 ， 网 站 偏好 使 用 的 技术 架构 都 是 LAMP(Linux+Apache+MySQL+PHP)。 

5. Google 和 亚马逊 彻底 让 Linux 体系 打败 了 Windows 体系 


2003 年 ， 曾 数 次 创业 ， 并 把 自己 的 手机 公司 卖 给 微软 的 安 迪 。 和 鲁 宾 创办 了 一 个 新 公司 
Android。 鲁 宾 想 让 Android 成 为 手机 上 的 通用 操作 系统 。 

2005 年 ，Google 宣布 收购 Android， 并 让 和 鲁 宾 在 公司 内 部 组 建 团 队 ， 推 进 手 机 操作 系 
统 的 计划 。2008 年 ， 第 一 款 Android 手机 面市 ， 之 后 短 短 几 年 ， 它 就 成 为 全 球 使 用 量 最 多 
的 操作 系统 。 

Android 的 成 功 ， 把 微软 手机 占有 率 压 到 不 足 1%， 在 新 兴 的 移动 终端 领域 打败 了 
Windows; 而 亚马逊 ， 则 帮助 Linux 彻底 拿 下 了 企业 市 场 。 

2006 年 8 月 25 日 ， 正 好 是 林 纳 斯 宣布 Linux 诞生 的 15 年 后 ， 一 直 专 注 于 在 网 上 购物 
的 亚马逊 发 布 了 一 个 与 主 业 没关系 的 产品 EC2， 隶 属于 AWS( 亚 马 逊 网 站 服务 )。 

AWS 其 实 就 是 今天 所 说 的 云 计 算 ，EC2 是 它 最 基本 的 服务 之 一 。 简 单 地 说 ，EC2 可 
以 让 企业 直接 在 线 搭 一 个 服务 器 。 如 果 对 性 能 要 求 不 高 ， 第 一 年 免费 。 之 后 随 着 需求 增 
加 ， 企 业 可 以 按 使 用 量 和 时 间 支 付 成 本 。 

AWS 成 功 的 一 个 基础 是 种 类 繁多 的 免费 Linux 发 行 版 ， 虽 然 它 也 可 以 使 用 Windows 
系统 ， 但 只 有 Linux 才能 做 到 真正 免费 启动 。 

EC2 最 初 受到 创业 公司 的 追捧 ， 正 好 也 赶 上 了 智能 手机 出 现 以 及 创业 潮 。 亚 马 逊 跟着 
推出 了 一 个 又 一 个 配套 服务 。 

微软 在 AWS 上 线 两 年 后 开始 测试 自己 的 反击 方案 Windows Azure。 
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与 早年 对 抗 Linux 时 一 样 ， 面 对 开放 的 、 可 以 任意 挑选 任何 技术 的 亚马逊 AWS， 微 软 
将 使 用 者 限制 在 自己 的 服务 下 ， 给 Windows Azure 开发 服务 就 需要 用 成 套 的 微软 工具 以 及 
相关 的 标准 。 

在 云 计 算 的 对 抗 中 ， 背 靠 Linux 以 及 诸多 开放 标准 的 AWS 再 次 获胜 。 

最 后 ，Linux 大 势 已 成 ， 微 软 也 开始 支持 Linux。 

6. Linux 赢 在 了 最 后 

云 计算 的 失败 是 开放 世界 对 Windows 的 最 后 一 击 。 

2011 年 ， 纳 德 拉 接管 了 微软 的 云 计算 业务 ， 他 做 的 一 个 调整 就 是 让 Azure 支持 开发 者 
使 用 Linux 操作 系统 。 此 举 是 为 了 吸引 不 愿意 用 Windows 的 用 户 使 用 微软 的 云 计算 服务 。 

这 一 举动 ， 一 度 让 微软 在 Linux 贡献 厂商 榜 单 排名 17， 因 为 微软 投入 大 量 人 力 开发 
Linux， 让 它 支 持 Azure 平台 。 

2013 年 ， 纳 德 拉 接 蔡 鲍 尔 默 成 为 微软 CEO， 他 加 大 了 对 Linux 的 支持 。 

2014 年 ， 纳 德 拉 把 云 计算 称 为 微软 的 战略 核心 ， 而 不 再 强调 操作 系统 的 价值 。 

同年 ，Windows Azure 改名 为 Microsoft Azure， 进 一 步 加 强 对 各 种 开放 标准 和 服务 的 
支持 ， 也 包括 Linux。 

2016 年 3 月 8 日， 微软 推出 了 Linux 版 SQL Server 预览 版 ， 把 数据 库 软 件 SQL Server 
向 开放 源 代码 的 Linux 操作 系统 进行 开放 ， 微 软 的 这 一 做 法 旨 在 吸引 大 企业 用 户 ， 从 甲骨 
文 手中 夺取 市 场 份额 。 

我 们 应 该 记 住 比尔 盖 茨 (Bil Gates)， 没 有 他 就 没有 今天 的 微软 和 精彩 的 世界 ; 我 们 更 
要 记 住 林 纳 斯 。 托 瓦 效 (Linuz Torvalds)， 因 为 他 更 定 了 未 来 的 基石 。 这 是 两 个 还 活着 的 伟 
人 ， 时 代 的 弄潮儿 。 














1.4 选择 适合 的 Linux 发 行 版 
1.4.1 ”最 具 影 响 力 的 Red Hat Linux 及 其 衍生 版 本 


Red Hat Linux 是 由 Red Hat 公司 (https://www.redhat.com/zh) 推 出 的 全 世界 应 用 最 广泛 
的 Linux 版 本 。Red Hat 公司 位 于 美国 北 卡 罗 莱 纳 州 ， 其 分 部 遍布 全 球 。Red Hat Linux 发 
行 版 以 易于 安装 和 使 用 而 闻名 ， 在 很 大 程度 上 减轻 


了 用 户 安装 程序 的 负担 。 
Red Hat Linux 9.0 版 本 推出 后 ， 红 帽 公 司 不 再 [3 redhat. 


继续 更 新 个 人 领域 版 本 ， 而 是 依托 Fedora 项 目 , 计 
划 以 Fedora 发 行 版 来 取代 Red Hat Linux 在 个 人 领 
域 的 应 用 。Fedora 发 行 版 依托 Fedora 网 络 社区 开发 ， 红 帽 公司 赞助 ， 早 期 版 本 名 为 Fedora 
Core 发 行 版 (简称 FC)，FC 7.0 后 改名 Fedora。Fedora 发 行 版 基于 Red Hat Linux。 
在 商业 应 用 的 领域 ，2002 年 3 月 ， 红 帽 公司 推出 了 红 帽 Linux 高 级 服务 器 版 本 
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(RedHat Advanced Server，RHAS)， 后 来 称 为 红 帽 企 业 版 Linux(Red Hat Enterprise Linux， 
RHEL)。 而 CentOS 是 RHEL(Red Hat Enterprise Linux) 源 代码 再 编译 的 产物 ， 而 且 在 RHEL 
的 基础 上 修正 了 不 少 已 知 的 Bug， 相 对 于 其 
他 Linux 发 行 版 ， 其 稳定 性 更 值得 信赖 。 选 中 

人 


择 CentOS 可 以 得 到 RHEL 的 所 有 功能 , 其 《 侍 > 全 C tOS 
至 是 更 好 的 软件 。 但 CentOS 并 不 向 用 户 提 DS EN 一 
供 商 业 支 持 ， 当 然 也 不 负 任何 商业 责任 。 

2014 年 1 月 ， 红 帽 公司 收购 了 CentOS Project 后 ，CentOS 仍然 完全 免费 。 





























1.4.2 ”最 流行 的 Ubuntu 及 其 衍生 版 本 


持 x86、amd64( 即 x64) 和 ppc 架构 ， 是 由 全 球 化 的 专业 开发 团队 
(Canonical Ltd) 打 造 的 开源 GNU/Linux 操作 系统 ， 为 桌面 虚拟 化 提 @ 
供 支 持平 台 。Ubuntu 对 GNU/Linux 的 普及 ， 特 别 是 桌面 版 的 普及 
做 出 了 巨大 贡献 。Ubuntu 的 Unity 桌面 已 经 演变 成 一 个 用 户 友 好 的 

界面 ， 对 于 Windows 的 用 户 而 言 ， 使 用 Ubuntu 比 从 Windows 7 转 

向 Windows 8 的 难度 相 比 还 要 容易 一 些 。 

Ubuntu 正式 支持 的 衍生 版 本 包括 Kubuntu 、Edubuntu 、Xubuntu 、Ubuntu Kylin、 
Ubuntu Server Edition、Gobuntu、Ubuntu Studio、Ubuntu JeOS、Mythbuntu、BioInfoServ 
OS、 Ebuntu、 Fluxbuntu、Freespire、Gnoppix、gOS、Hiweed、Jolicloud、Gubuntu、Linux 
Deepin、Linux Mint、Lubuntu、nUbuntu、Ubuntu CE 等 。 这 些 版 本 各 有 具 特色 ， 很 多 都 拥有 
很 高 的 知名 度 和 用 户 群 ， 如 最 适合 笔记 本 使 用 的 操作 系统 Ubuntu MATE、 最 适合 低 配 置 旧 
硬件 的 系统 Lubuntu、 最 适合 多 媒体 制作 的 系统 Ubuntu Studio 等 。 


Ubuntu(http://cn.ubuntu.com/) 是 基于 Debian GNU/Linux 的 ， 支 =e 





1.4.3 ”最 受 好 评 的 企业 级 系统 RHEL/SLE 


Red Hat Enterprise Linux(RHEL) 或 者 SUSE Linux 
Enterprise(SLE) 是 最 受 欢迎 的 企业 版 系统 。RHEL 是 红 帽 
公司 的 企业 级 Linux 发 行 版 ， 主 要 分 为 服务 器 版 (ServenD CR 
和 桌面 版 (Desktop)。 SUSE 
SUSE 公司 于 1992 年 末 创 办 。1994 年 ， 他 们 首次 推 


出 了 SLS/Slackware 的 安装 光碟 ， 命 名 为 Su.S.E. Linux YE YO 

1.0。 现 在 ，SUSE Linux 的 主要 产品 版 本 有 : SUSE Linux 
Enterprise Server(SLES)， 是 提供 可 用 性 、 有 效 性 和 创新 
性 的 企业 服务 器 版 本 ; SUSE Linux Enterprise Desktop 
(SLED)， 是 企业 桌面 办 公 系 统 ， SUSE Embedded， 是 嵌 
入 式 系 统 ， 适 用 于 稳定 而 安全 的 专用 设备 和 系统 。 另 
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openSUSE 
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外 ， 类 似 于 Fedora 和 Red Hat 的 关系 ， 你 也 可 以 尝试 一 下 openSUSE， 它 也 是 最 受 好 评 的 
发 行 版 之 一 。 


1.4.4 最 好 用 的 服务 器 操作 系统 Debian/CentOS 


如 果 你 正 打算 为 服务 器 选择 合适 的 操作 系统 ， 但 是 又 不 想 为 
RHEL 或 SLE 的 维护 付费 ， 那 么 Debian 或 CentOS 是 你 最 好 的 选 
择 。 它 们 是 社区 主导 的 服务 器 版 本 ， 都 具有 最 项 级 的 性 能 标准 ， 而 
且 ， 它 们 的 支持 周期 很 长 ， 所 以 你 不 必 担 心经 常 升级 系统 。 

Debian Linux(https://www.debian.org/) 是 最 早期 的 Linux 发 行 版 六 
之 一， 很 多 其 他 Linux 改行 版 都 是 基于 Debian 发 展 而 来. Debin 主 Geblan 
要 分 三 个 版 本 : 稳定 版 本 (stable)、 测 试 版 本 (testing)、 不 稳定 版 本 
(unstable)。 

CentOS(https://www.centos.org/) 是 红 帽 公 司 的 Linux 企业 版 (RHEL) 的 再 编译 版 本 ， 拥 
有 等 同 于 RHEL 的 性 能 。 二 者 都 是 服务 器 系统 的 最 佳 选择 。Debian 在 低 配 置 服务 器 上 表现 
惊艳 ， 目 前 流行 的 低 配 置 虚拟 私人 服务 器 (Virtual Private Server，VPS)， 内 存 有 些 只 有 
128MB/256MB， 基 本 上 Debian 是 最 适合 的 选择 ， 如 果 内 存 能 达到 512MB 以 上 ，CentOS 
通常 可 以 良好 运行 。 

【任务 实践 】 

选择 适合 你 的 Linux 系统 


(1) Red Hat Linux 影响 最 大 ， 任 何 时 候 你 都 可 以 选择 它 。 

(2) Ubuntu 拥有 最 好 的 桌面 ， 使 用 起 来 最 为 舒适 易 用 。 

(3) 企业 级 系统 挑选 RHEL 或 者 SLE， 虽 然 要 付费 ， 但 是 物 有 所 值 。 

(4) 如 果 打算 享受 企业 品质 服务 ， 但 又 不 想 花 钱 或 者 少 花 钱 ， 你 可 以 选择 Debian 或 者 
CentOS 。 

(5) 如 果 所 有 版 本 你 都 不 满意 ， 那 么 也 可 以 自己 DIY， 定 制 自己 的 Linux 发 行 版 。 毕 
竟 ， 发 行 版 就 是 Linux 内 核 加 上 各 种 应 用 的 集成 而 已 ， 从 这 个 角度 上 说 ， 你 可 以 根据 需要 
自由 组 合 软件 ， 制 作 自己 的 Linux 发 行 版 。 你 可 以 自由 选择 需要 的 内 核 版 本 和 软件 集合 ， 
可 以 对 任何 不 满意 的 功能 进行 改进 ， 或 者 添加 新 的 软件 满足 需要 ， 唯 一 能 限制 你 的 只 有 你 
自己 的 想象 力 和 创造 力 ， 这 就 是 Linux 所 象征 的 “自由 ”的 体现 。 

本 任务 就 是 要 求 选择 你 中 意 的 Linux 系统 ， 并 且 对 其 进行 简要 的 介绍 ， 说 明 你 选择 它 
的 原因 。 
苇 提示 :”Q@ 你 心目 中 的 Linux 系统 要 满足 哪些 特征 ? 

@ 你 选择 的 发 行 版 是 什么 ? 它 具 备 什么 特征 ? 
图 为 你 选择 的 系统 打 个 分 数 ， 你 对 它 的 满意 程度 是 百 分 之 多 少 ? 
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任务 二 : 在 虚拟 机 上 安装 CentOS Linux 


在 这 一 部 分 中 ， 我 们 要 关注 三 个 问题 : 虚拟 机 是 什么 ? 为 什么 要 使 用 虚拟 机 ? 怎么 在 
虚拟 机 上 安装 CentOS Linux? 


知识 储备 
1.5 VMware 和 虚拟 机 


虚拟 机 (Virtual Machine，VM) 指 通过 软件 模拟 的 具有 完整 硬件 系统 功能 的 、 运 行 在 一 
个 完全 隔离 环境 中 的 完整 计算 机 系统 。 

VMware(Virtual Machine Ware) 公 司 (http://www.vmware.com/cn.htm) 是 一 个 “虚拟 机 ” 
软件 公司 ， 提 供 服务 器 、 桌 面 虚拟 化 的 解决 方案 。 它 的 产品 可 以 使 你 在 一 台 机 器 上 同时 运 
行 两 个 或 更 多 的 Windows、Linux 系统 。 

与 “多 启动 ”系统 相 比 ，VMWare 采用 了 完全 不 同 的 概念 。 多 启动 系统 虽然 在 一 台 计 
算 机 上 安装 了 多 种 操作 系统 ， 但 在 一 个 时 刻 只 能 运行 一 个 系统 ， 在 系统 切换 时 需要 重新 启 
动 计算 机 。 而 VMware 是 真正 “同时 ”运行 ， 多 个 “虚拟 机 ”同时 运行 在 主 系统 的 平台 
上 ， 如 图 1-9 所 示 ， 可 以 像 标准 Windows 应 用 程序 那样 进行 切换 。 


La 


真实 计算 机 〈Windows 或 者 Linux) 


1-9 ”多 虚拟 机 同时 运行 


每 个 “虚拟 机 ”都 相当 于 是 一 台独 立 的 计算 机 ， 你 都 可 以 像 真实 计算 机 一 样 进行 虚拟 
的 分 区 、 配 置 而 不 担心 会 影响 到 真实 硬盘 的 数据 ， 你 还 可 以 根据 需要 任意 添加 多 块 硬盘 、 
多 个 网 卡 等 虚拟 设备 来 对 高 级 性 能 进行 仿真 和 练习 ， 你 甚至 可 以 通过 将 几 台 虚拟 机 用 网 卡 
连接 为 一 个 局 域 网 ， 来 模拟 网 络 环境 。 虚 拟 机 的 灵活 性 ， 对 我 们 的 学 习 可 以 提供 极 大 的 帮 
助 。 事 实 上 ， 这 些 “ 虚 拟 PC” 使 用 起 来 与 真实 计算 机 基本 没什么 差别 。 虚 拟 机 环境 就 是 
最 完美 的 学 习 环 境 ， 比 真实 环境 还 要 好 得 多 。 

随 着 海量 的 数据 中 心 建立 完成 ，“ 云 时 代 ” 大 幕 拉 开 ， 各 种 应 用 、 资 源 正在 向 “ 云 ” 
中 迁移 。“ 云 ”中 的 服务 器 就 是 虚拟 机 ，VMware 就 是 云 平 台 的 一 种 。 也 就 是 说 ， 我 们 现 
在 在 虚拟 机 上 高 效 地 学 习 ， 将 来 ， 我 们 的 工作 任务 也 将 主要 在 虚拟 机 中 完成 。 

从 VMware 公司 的 官方 网 站 可 以 购买 正式 版 或 者 下 载 试用 版 ， 下 载 链接 是 : 


http://www.vmware.com/cn/products/workstation/ 
workstation-evaluation.html 
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下 载 完成 后 双击 ， 可 以 进行 安装 。 下 载 页 面 如 图 1-10 所 示 。 











产品 > Workstation for Warkstation for Windows > VMware Worxstaton Pro 试用 a 


station 12 Pro for Linux (64 位 








图 1-10 VMware 下 载 页 面 


虚拟 机 安装 好 后 ， 运 行 界面 如 图 1-11 所 示 ， 单 击 “ 创 建新 的 虚拟 机 ”就 可 以 开始 新 虚 
拟 机 的 创建 ， 对 于 已 经 建立 好 的 虚拟 机 ， 可 以 通过 “打开 虚拟 机 ”重新 打开 ;通过 “连接 
远程 服务 器 ”， 可 以 连接 远程 服务 器 ， 在 服务 器 上 进行 虚拟 机 的 操作 ， 而 通过 “连接 到 
VMware vCloud Air”， 可 以 连接 到 VMware 云 上 ， 进 行 虚拟 机 的 操作 。 


文件 四。 清 而 目 。 宇 可 W 本 MI 迪 DD 大 QJ 
库 





| on 


2 
国共 购 


四 WORKSTATION 12 


的 心 


连 从 这 各 科 务 器 连 过 到 VMware 
vOloud Ar 








图 1-11 安装 好 的 VMware 工作 界面 


1.6 创建 虚拟 机 


VMware 虚拟 机 软件 安装 后 ， 可 用 来 创建 虚拟 机 。 每 一 个 虚拟 机 就 像 一 台独 立 的 电脑 
一 样 ， 在 虚拟 机 上 我 们 可 以 再 安装 系统 ， 在 这 个 虚拟 系统 上 再 安装 应 用 软件 ， 所 有 操作 效 
果 跟 操作 一 台 真 正 的 电脑 完全 相同 。 
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利用 虚拟 机 ， 我 们 可 以 学 习 安 装 操作 系统 、 学 习 使 用 Ghost 镜像 、 分 区 、 格 式 化 、 测 
试 各 种 软件 或 病毒 验证 等 工作 ， 甚 至 可 以 组 建 网 络 。 即 使 误 操作 ， 都 不 会 对 你 的 真实 计算 
机 造成 任何 影响 ， 因 此 虚拟 机 是 个 学 习 电 脑 知 识 的 好 帮手 。 

同样 ， 我 们 可 以 在 虚拟 机 中 对 产品 和 业务 进行 各 种 测试 ， 比 如 测试 网 站 的 各 项 性 能 以 
及 新 的 功能 改进 。 使 用 虚拟 机 ， 具 有 低 成 本 、 易 于 部 署 、 效 率 高 等 优势 。 

在 创建 虚拟 机 时 ， 我 们 要 为 它 进行 设 定 ， 分 配 资源 ， 具 体 步 又 如 下 。 

(1) 单 击 “ 创 建 虚拟 机 ”， 进 入 创建 虚拟 机 的 向 导 ， 如 图 1-12 所 示 。 默 认 选 择 “ 典 型 
(推荐 )”， 这 样 可 以 快速 完成 虚拟 机 的 设置 。 如 果 想 进一步 调整 ， 可 以 完成 后 修改 或 者 选 
择 “ 自 定义 (高 级 )” 配 置 。 


























欢迎 使 用 新 建 座 拟 机 向 导 


Works! 人 1oN 您 祖 望 使 用 什么 类 型 的 醒 置 ?7 


PRC 
TT 图 典型 (推荐 MT) 


通过 几 个 简单 的 步 对 创 建 Workstation 12.0 
虚拟 机 * 


XO 
也 键 带 有 5CS1 控制 器 类 型 、 虚 拟 磁 盘 类 型 
a VMware 产品 兼容 性 等 高 级 选项 





下 - 步 (N) > | 取消 
图 1-12 新 建 虚拟 机 的 向 导 


(2) 单 击 “ 下 一 步 ”按钮 ， 我 们 来 配置 系统 安装 选项 ， 如 图 1-13 所 示 。 

如 果 选 择 第 一 项 “安装 程序 光盘 ”， 你 需要 把 系统 安装 光盘 介质 放 入 当前 计算 机 的 光 
级 驱动 器 中 ， 虐 拟 机 将 使 用 物理 计算 机 的 光盘 驱动 器 来 进行 安装 ， 就 像 你 在 物理 计算 机 上 
安装 操作 系统 一 样 。 

如 果 选 择 第 二 项 “安装 程序 光盘 映像 文件 ”， 我 们 需要 有 安装 光盘 制作 成 的 映像 文 
件 ， 使 用 映像 文件 (iso) 来 进行 安装 。 我 们 从 网 络 可 以 下 载 CentOS 的 安装 镜像 文件 
(https://www.centos.org/download/)， 然 后 选择 下 载 的 映像 文件 进行 安装 (当然 ， 也 可 以 把 
ISO 映像 刻录 到 光盘 上 ， 再 使 用 第 一 种 方式 )。 

如 果 选 择 第 三 项 “ 稍 后 安装 操作 系统 ”， 则 暂时 不 设 定 系统 安装 选项 ， 以 后 再 行 设 定 
即 可 。 

(3) 单 击 “ 下 一 步 ” 按 钮 ， 我 们 来 命名 虚拟 机 。 虚 拟 机 名 称 可 以 自由 设 定 ， 虚 拟 机 存 
放 位 置 由 于 会 使 用 大 量 的 磁盘 空间 ， 最 好 不 要 放 在 系统 分 区 。 建 议 自己 创建 目录 ， 存 放 虚 
拟 机 相关 文件 ， 如 图 1-14 所 示 。 
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安装 客户 机 操作 系统 
虚拟 机 如 局 期 理 机 ， 规 要 操作 系统 您 稳 如 何 安装 客户 机 操作 系统 ? 





安装 来 源 : 


口 安 装 程 序 光盘 (D): 
二 pv RwaEa 吕 (0 


图 安 装 程序 光盘 映 铺 文件 (50)(M): 
迅雷 下 载 \CentO5-7-x86_64-DVD-1611.5o 
已 柱 册 | Cent0s 64 位 。 





口 稍 后 安装 操作 系统 (S)~ 
健 的 虚拟 机 将 包含 一 个 空白 硬盘 





必 助 < 上- 步 (8) | | 下 一 步 (N)> 








1-13” 设 定安 装 盘 位 置 


命名 虚 所 机 
您 要 为 此 虚拟 机 使 用 什么 名 称 ? 


虚拟 机 名 称 (V): 
Cent05 64 位 
位 置 (D): 
Fi\vmware-os\Centos7 


在 ' 编 可 "> “首选 顺 "中 可 更 欢 叶 认 位 置 。 





< 上 -人 步 (B) | 下 一 步 (N) > 取消 


1-14 ”虚拟 机 名 称 和 位 置 


(4) 单 击 “ 下 一 步 ”按钮 ， 指 定 磁盘 容量 ， 使 用 默认 20GB 磁盘 就 可 以 ， 以 后 有 需要 
可 以 额外 添加 调整 ， 如 图 1-15 所 示 。 


指定 磁盘 家 全 
磁盘 大 小 为 条 少 ? 


虚拟 机 的 硬盘 作为 一 个 或 和 个 文件 存 侍 在 主机 9 押 蛙 磋 径 中 。 边 些 文件 最 初 很 
小 ， 随 兰 您 向 虚 秘 机 中 添加 应 用 程序 、 文 件 和 数据 而 这 者 交大 ” 

县 大 础 县 大 小 (GBJCS [mE 

针对 CentOS 64 位 的 建议 大 小 : 20 GB 


门将 虎 忆 基色 存续 为 单个 文件 (0) 
图 将 虚 殿 磋 盘 拆 分 成 地 个 文件 (M) 


可 以 更 轻松 地 在 计算 机 之 局 移动 去 拟 机 ， 但 可 能 会 降 长 大 容 鱼 磁盘 的 








< 上 - 步 (9) | [下 -- 步 (N) > | | 取消 








图 1-15 设置 虚拟 机 磁盘 容量 
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如 果 磁 盘 空 间 富 裕 ， 那 么 可 以 设置 更 大 的 空间 。 下 方 有 两 个 选择 项 ， 如 果 选 择 “ 将 虚 
拟 磁盘 存储 为 单个 文件 ”， 意 味 着 可 能 会 出 现 一 个 大 小 达到 20GB 的 超大 文件 ， 这 样 的 文 
件 在 复制 移动 时 可 能 出 错 。 如 果 你 打算 把 安装 好 的 虚拟 机 转移 到 其 他 计算 机 上 ，U 盘 通 常 
有 单个 文件 的 最 大 容量 限制 ， 一 般 是 2GB 大 小 ， 是 不 能 存储 20GB 这 么 大 的 文件 的 ， 这 就 
可 能 带 来 麻烦 。 通 过 网 络 传输 大 文件 也 会 有 类 似 的 问题 。 所 以 ， 我 们 经 常会 选择 “将 虚拟 
磁盘 拆 分 成 多 个 文件 ”， 这 样 易 于 复制 和 网 络 传输 ， 对 应 地 ， 要 付出 的 代价 就 是 数据 读 写 
速度 会 有 所 降低 。 

(5) 再 单 击 “ 下 一 步 ” 按 钮 ， 出 现 信息 汇总 界面 ， 单 击 “ 完 成 ”按钮 ， 就 完成 了 虚拟 
机 的 创建 ， 如 图 1-16 所 示 。 如 果 想 对 虚拟 机 设置 进行 调整 ， 可 以 单 击 “ 编 辑 虚 拟 机 设 
置 ”， 进 行进 一 步 设 定 。 如 果 对 设置 满意 ， 就 可 以 单 击 “ 开 启 此 虚拟 机 ”。 接 下 来 ， 虚 拟 
机 就 像 真 实 计算 机 一 样 ， 启 动 ， 进 行 系统 安装 或 者 使 用 了 。 如 果 在 安装 选项 设 定时 没有 指 
定安 装 源 的 话 ， 那 么 需要 编辑 虚拟 机 设置 ， 对 安装 源 进行 设置 。 





祷 D 所 豆 看) spdVUM) 运 项 CD 凡 册 0D | 用 ~ 





= | 闻 centos G4 位 


上 加] centos 64 位 


褒 扫 机 详细 信息 








图 1-16 虚拟 机 配置 和 编辑 
1.7 安装 CentOS Linux 
1.7.1 安装 前 的 准备 工作 
在 虚拟 机 上 安装 ， 其 实 跟 在 真正 的 服务 器 上 安装 没 多 少 差别 ， 虚 拟 机 也 可 以 当 作 真正 
的 服务 器 来 使 用 。 在 安装 之 前 ， 需 要 检查 虚拟 机 的 一 些 设置 。 


1. 调整 分 配给 虚拟 机 的 内 存 设置 


因为 虚拟 机 是 在 真实 系统 之 上 运行 的 ， 所 以 需要 占用 真实 计算 机 的 富余 资源 。 如 果 虚 
拟 机 分 配 的 资源 高 于 系统 富余 资源 ， 会 导致 真实 计算 机 资源 不 足 、 运 行 变 慢 ， 虚 拟 机 也 会 


.ATeN. 
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受到 影响 。 例 如 真实 计算 机 具有 4GB 内 存 ， 如 果 本 机 运行 需要 约 2GB， 那 么 就 有 约 2GB 
可 以 分 配给 虚拟 机 ， 分 配 时 ， 要 优先 保证 真实 计算 机 本 身 的 运行 ， 留 足 余 量 。 虚 拟 机 的 配 
置 可 以 根据 需要 临时 调整 ， 如 果 内 存 紧 张 ， 可 以 先 分 配 较 少 的 资源 ， 以 后 再 行 调整 。 此 
外 ， 虚 拟 机 不 运行 时 ， 是 不 会 占用 这 些 资源 的 。 

如 果 虚 拟 机 分 配 的 资源 少 于 系统 需要 ， 那 么 虚拟 机 系统 的 运行 也 不 能 正常 运行 。 对 于 
CentOS 系统 的 需求 ， 通 常 ， 如 果 只 是 安装 最 小 系统 ， 设 定 256MB 内 存 就 可 以 良好 工作 ; 
如 果 安 装 图 形 界面 ， 那 么 建议 至 少 内 存 达到 512MB; 如 果 还 要 安装 数据 库 ， 进 行 应 用 功能 
测试 、 用 户 负载 测试 等 ， 再 考虑 实际 负荷 的 用 户 数量 ， 内 存 的 需求 要 相应 地 调整 和 提升 。 
从 服务 器 运行 角度 看 ， 内 存 多 多 益 善 。 

2. 调整 虚拟 机 的 磁盘 设置 

虚拟 机 的 磁盘 设置 需要 根据 需求 进行 调整 。 

磁盘 的 容量 是 首先 要 考虑 的 ， 通 常 建议 分 配 20GB 的 磁盘 空间 来 安装 CentOS 7， 作 为 
学 习 和 基本 应 用 ， 这 个 空间 大 小 基本 能 够 满足 常用 软件 的 安装 和 系统 运行 所 需 了 。 如 果 是 
企业 级 应 用 ， 考 虑 到 长 时 间 运 行 所 需 ， 建 议 分 配 300GB 存储 空间 。 当 然 ， 具 体 的 空间 估 
算 ， 还 要 根据 业务 所 需 和 数据 量 的 多 少 等 多 方面 因素 综合 考量 。 

其 次 ， 磁 盘 管 理 也 是 必须 考虑 的 问题 ， 磁 盘 空 间 通常 会 划分 成 若干 个 部 分 ， 除 了 安装 
系统 的 根 分 区 (用 “/” 表 示 ) 之 外 ， 还 需要 划分 出 内 存 大 小 1 到 2 倍 的 大 小 作为 交换 分 区 
(swap 分 区 ); 启动 目录 (boob 通 常 也 会 划分 出 大 概 100MB 到 200MB 作为 独立 分 区 ;用户 
家 目录 (home) 单 独 作为 一 个 分 区 对 服务 器 稳定 也 有 益处 ; 网 站 和 其 他 业务 所 在 分 区 单独 划 
分 出 一 个 分 区 有 助 于 提升 系统 安全 级 别 ; 如 果 有 数据 库 ， 可 能 也 需要 单独 划分 出 一 个 分 区 
等 。 在 实际 工作 中 ， 根 据 需 要 ， 技 术 人 员 会 进行 分 区 规划 ， 安 装 系统 时 ， 对 磁盘 进行 合理 分 
区 。 如 果 使 用 系统 默认 策略 ， 会 在 磁盘 上 创建 启动 分 区 (/boot)、 交 换 分 区 (swap) 和 根 分 区 (/)。 

对 于 服务 器 来 说 ， 常 常 需要 海量 存储 空间 、 更 快 的 硬盘 读 写 速度 、 更 好 的 数据 安全 保 
证 ， 这 些 通常 需要 配置 动态 磁盘 技术 ， 需 要 添加 更 多 的 磁盘 来 满足 更 大 、 更 快 、 更 安全 的 
存储 ， 要 根据 需求 配置 对 应 的 磁盘 ， 或 者 以 后 再 行 修改 。 

3. 安装 软件 的 选择 : 基础 模板 + 附加 软件 

还 有 一 个 需要 考虑 的 ， 是 要 安装 的 软件 。CentOS 发 行 版 有 几 万 个 软件 可 以 选择 ， 这 么 
多 的 软件 ， 即 使 只 是 了 解 ， 也 要 花费 大 量 的 时 间 。 为 了 简化 安装 ，CentOS 7 提供 了 简化 安 
装 模 式 。 安 装 时 ，CentOS 7 提供 了 十 种 安装 模板 基础 环境 及 每 种 环境 的 附加 选项 。 根 据 实 
际 需求 ， 选 择 一 种 基本 模板 ， 然 后 再 选择 对 应 的 附加 选项 ， 这 样 就 可 以 实现 满足 需求 的 相 
应 环境 了 。 即 使 软件 选择 不 当 ， 以 后 也 可 以 通过 系统 的 软件 管理 工具 很 方便 地 随时 调整 。 

4. 安装 时 的 安全 设置 

安装 时 的 安全 选项 也 必须 注意 。 如 果 启 用 SELinux 安全 策略 系统 ， 那 么 很 多 系统 功能 
和 配置 都 会 受到 影响 ， 对 初学 者 会 带 来 很 多 额外 的 工作 。 因 此 ， 可 以 关闭 服务 ， 或 者 把 服 
务 暂 时 禁用 ， 简 化 学 习 操作 。 防 火 墙 如 果 设 置 不 当 ， 可 能 会 对 外 来 通信 产生 阻碍 ， 致 使 相 
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关 服 务 出 现 问题 ， 也 可 以 考虑 暂时 关闭 防火 墙 服务 。 在 实际 企业 环境 中 ， 安 全 策略 和 防火 
墙 都 是 安全 管理 的 重点 内 容 ， 必 须 认真 学 习 和 掌握 。 


5. 准备 安装 镜像 文件 


创建 好 虚拟 机 ， 在 开始 安装 之 前 ， 要 下 载 好 CentOS Linux 的 安装 光盘 镜像 。 打 开 
CentOS 官网 的 下 载 链接 : https://www.centos.org/download/， 效 果 如 图 1-17 所 示 。 第 一 个 
图 标 是 DVD 介质 的 安装 映像 ， 第 二 个 图 标 是 完全 版 映像 ， 第 三 个 是 最 小 安装 映像 。 我 们 
选择 一 个 映像 进行 下 载 ， 如 果 是 安装 到 真实 计算 机 ， 可 以 下 载 后 刻录 到 光盘 上 进行 安装 ， 
在 虚拟 机 上 安装 可 以 把 ISO 文件 挂 载 到 虚拟 机 的 虚拟 光驱 上 ， 简 洁 方便 。 





Download CentO5 





1-17 ”下载 CentOS 安装 盘 镜 像 
6. 挂 载 镜 像 文件 ， 开 始 安装 


(1) 在 虚拟 机 初始 界面 选择 “编辑 虚拟 机 设置 ”， 单 击 CD/DVD(IDE) 设 置 光驱 ， 在 右 
侧 选择 “使 用 ISO 映像 文件 ”， 如 图 1-18 所 示 。 


5 
可 BE 这 相 (0) 
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1-18 ”把 下 载 的 光盘 镜像 挂 载 到 虚拟 光驱 
单 击 “ 浏 览 ” 按 钮 ， 选 择 挂 载 下 载 好 的 ISO 安装 映像 文件 ， 单 击 “ 确 定 ” 按 钮 ， 返 





互 











虚拟 机 初始 界面 。 
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(2) 在 虚拟 机 初始 界面 ， 单 击 “ 开 启 此 虚拟 机 ”， 虚 拟 机 开始 启动 。 单 击 虚拟 机 显示 
屏幕 ， 从 本 地 计算 机 切换 到 内 部 虚拟 机 ， 然 后 用 键盘 上 下 键 选择 Install CentOS Linux 7， 
然后 按键 盘 上 的 回 车 键 (Enter 键 ) 开 始 安装 ， 如 图 1-19 所 示 。 第 二 项 Test this media & 
install CentOS Linux 7 是 当 采 用 光盘 安装 介质 进行 安装 时 ， 为 了 避免 光盘 划 伤 引起 数据 损 
坏 导 致 中 途安 装 失败 ， 在 安装 之 前 对 光盘 进行 检测 ， 读 取 正 常 的 情况 下 再 安装 。 第 三 项 
Troubleshooting 是 问题 处 理 。 按 键盘 上 的 Tab 按键 可 以 查看 完整 配置 选项 信息 。 
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1-19 开始 安装 CentOS 7 


1.7.2 安装 步骤 说 明 


安装 CentOS 7 Linux 的 具体 步骤 如 下 。 
1. 选择 安装 过 程 中 使 用 的 语言 (中 文 /简体 中 文 ) 


认 语 言 设 置 为 中 文 ， 配 置 好 中 文 输入 法 。 如 果 选 择 英文 后 再 修改 为 中 文 ， 这 些 工 作 就 要 
-自己 完成 ， 如 图 1-20 所 示 。 


这 将 自动 加 载 中 文 支 持 ， 使 用 中 文 环 境 进行 整个 系统 安装 过 程 ， 并 把 安装 好 的 系统 默 








CENTOS LINUX 7 安村 
四 oa 
欢迎 使 用 CENTOS LINUX 7。 
售 在 安装 过 程 中 想 使 用 帝 种 语 襄 ? 
EXE 
Towwn 法 钵 中 文 ( 台 注 ) 
Ts 楷体 中 文 [中 草 人 民 共 和 国 香江 特别 和 
简体 中 文 (新 加 镇) 
Ta 
a 
, 


图 1-20 选择 语言 


2. 设 定安 装 信息 摘要 ， 点 击 对 应 图 标 进行 设置 








主要 的 安装 选项 基本 都 在 这 个 页 面 进行 配置 ， 如 图 1-21 所 示 ， 有 具体 步骤 如 下 。 注 意 ， 
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如 果 某 些 选项 上 面 有 感叹 号 存在 ， 就 是 必须 配置 的 ， 没 有 感叹 号 的 ， 不 配置 保持 默认 也 可 以 。 


安装 信息 簿 要 CENTOS LINUX 7 安装 
加 cn i 


CentOS 本 地 化 
日 期 和 时 间 (T) 键盘 (K) 
亚 浪 上 海里 区 六 请 
[ 语 舍 支持 () 
简体 中 文 (中 国 ) 


软件 
安装 枝 款 件 选择 (s) 
本 地 介质 大 小 下 绪 
系统 
© 安装 位 | 
NE 已 运 择 自 动 区 
-全 一 we ~ 





1-21 逐一 设置 安装 配置 项 


(1) 日 期 和 时 间 设 置 : 选择 “亚洲 /上 海 ”。 如 果 上 一 步 语 言 选择 English， 要 选择 的 
就 是 Asia/ShangHai。 如 果 在 别 的 国家 ， 按 照 所 在 时 区 进行 设置 。 这 将 影响 基本 语言 支持 和 
时 间 时 区 设置 ， 还 有 货币 符号 、 显 示 格 式 等 的 本 地 化 设置 内 容 。 

(2) 键盘 设置 保留 默认 即 可 。 

(3) 语言 支持 : 简体 中 文 (中 国 ) 等 ， 可 以 把 你 需要 用 到 的 语言 都 加 进来 。Linux 几乎 支 
持 所 有 的 常见 语言 ， 如 果 你 要 访问 日 文 站 点 ， 那 么 应 该 加 入 日 文 支持 ， 如 果 你 要 用 韩文 软 
件 ， 应 该 加 入 韩文 支持 。 这 通常 包含 字库 和 输入 法 。 

(4) 安装 源 : 指定 系统 安装 源 文件 的 路 径 。 选 择 “ 自 动 检 测 到 的 安装 介质 ”， 也 就 是 
我 们 下 载 后 挂 载 在 光驱 里 的 镜像 文件 。 如 果 进 行 网 络 安装 ， 选 择 下 方 的 “在 网 络 上 ”， 指 
定安 装 源 所 在 的 位 置 ， 如 图 1-22 所 示 。 


ENTOS LINUX 
EE 





后 外 软件 仓库 


1-22 ”安装 源 指定 


[23N. 
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(5) 软件 选择 : 根据 需求 进行 选择 ， 第 一 次 安装 ， 列 





议 选 择 “ 最 小 安装 ”。 如 果 需 要 


图 形 界面 ， 就 选 “ 带 GUI 的 服务 器 ”。 然 后 继续 选择 要 安装 的 附加 软件 ， 如 图 1-23 所 





示 。CentOS 7 按照 常见 用 途 分 类 ， 把 预 设 模板 进行 了 设置 。 如 果 不 喜欢 这 些 模板 ， 可 以 选 
择 一 个 接近 的 ， 在 安装 后 进行 调整 ， 或 者 选择 最 小 安装 后 再 添加 需要 的 模 组 或 软件 。 





基本 环境 
最 小 安装 
拓 术 四 能 
计算 节点 
执行 计 研 及 处 理 的 安村 
基础 设施 服务 器 


已 选 环境 的 附加 选项 





用 于 柳 作 网 络 基 而 设施 服务 的 骤 务 器 。 务 加 


文件 及 打印 服务 器 
用 于 企业 的 文 
基本 网 克服 务 器 









机 。 


CETTT 呈 
带 有 用 于 灌 作 网 络 基础 设施 服务 GUI 的 服务 各 硬件 监控 工具 


GNOME 点 而 


恋 互 联网 内 容 的 归 务 攻 


闪 许 竹 统 作为 SMTP 和 (可 者 ) IMAP 电子 邵 件 骤 务 


科 印 及 存储 报 务 器 。 姓 从 用 


FTP 服务 器 

许 净 系统 作为 FTP 服务 器 全 用 
文件 及 存储 服 务 器 

CIFS, SMa, NFS, iSCSI ISER 及 iSNS 网络 存 依 服 务 


一 组 用 来 监 朱 服 务 器 硬件 的 工具 - 


GNOME 是 一 个 非常 直 观 且 用 户 互 好 的 率 面 环境 高 可 用 性 


KDE Plasme Wor 








用 于 高 度 可 用 服务 和 (或 者 ) 共享 存 依 的 基础 设施 


KDE Plasma Workspaces 是 身份 管理 服务 器 
界面 ， 其 中 包括 面 酌 、 来 西 、 科 统 玫 标 以 及 来 面 应 导 和 用 户 、 服 务 器 和 认证 条 覆 的 集中 特 理 ， 
得 多 功能 到 大 的 KDE 应 月 硬 序 。 Infniband 支持 





开发 及 生成 工作 站 


用 于 软件 硬件 、 配 形 或 者 内 容 开发 的 工作 外 


用 来 支持 集 愤 和 厂 周 RDMA Infniaand 和 WARO 光纤 
的 网 藉 连 挫 性 的 软件 


1-23 ”选择 要 安装 的 软件 


(6) 安装 位 置 ， 设 定 磁盘 分 区 ， 建 议 首先 使 用 默认 的 “自动 配置 分 区 ”进行 安装 ， 如 
图 1-24 所 示 。 等 对 分 区 有 明确 认 知 后 ， 再 按照 需要 进行 规划 ， 重 新 分 区 并 安装 新 系统 。 





设备 选择 


CENTOSLINUX 7 安装 


选择 恶 在 其 中 安 靳 系统 的 设备 。 点 击 主 菜单 中 的 "开始 安 鞠 " 按 外 前 不 会 对 该 设备 进行 任何 操作 。 


本 地 标准 磁盘 


20 Gie 


VMware, VMware Virtual S 


sda / 992.5KiB 空闲 
专用 硕 盘 & 网 络 而 盘 
目 
添加 磁盘 (A) 


其 它 存储 选项 
分 区 
全 自动 配置 分 区 ( 山 





不 会 于 来 在 相公 章 掺 的 帮 委 谓 行 任何 效 作 . 


地 会 于 未 在 此 处 关 昌 的 星人 过 任何 峰 作 。 


我 要 本 面 分 区 (| 


已 选择 1 个 痪 盘 ; 容量 20 GiB ; 992.5 KB 空间 副 新 ( 


1-24 ”对 磁盘 进行 分 区 


(7) KDUMP: 保留 默认 即 可 。 如 图 1-25 所 示 。 当 系统 内 核 衣 演 时 ，KDUMP 会 保存 


状态 信息 ， 对 检测 服务 器 错误 原 
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因 有 帮助 。 启 动 此 服务 会 占据 少量 内 存 。 
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Kad 内核 骨 潜 转 依 机 制 。 在 系 境 沸 江 的 Bj 要，kdump 关 拉 区 系 统 全 刍 ， 这 对 于 诊 灯 痊 渍 的 原因 非常 有 月 。 注意 ，kdump 和 要 巴 
留 内存 ， 且 这 部 分 内 存 对 于 其 但 用 户 是 不 可 用 的 ， 


BB 有 kdump (E) 
为 Kdump 保 久 的 内 存 : ®) 自动 (A #5 (M) 


1-25 配置 内 存 转 储 


(8) 网 络 和 主机 名 设置 : 默认 全 是 动态 获取 ， 默 认 主 机 名 是 localhostlocaldomain 。 
对 于 服务 器 来 说 ， 通 常 我 们 会 把 卫 设置 为 静态 卫 ， 主 机 名 设置 为 自己 设 定 的 名 称 ， 这 些 
也 可 以 保持 默认 ， 在 安装 完成 后 再 修改 。 在 企业 网 络 中 ， 卫 地 址 和 主机 名 是 有 统一 规划 
的 ， 不 要 随意 设置 ， 如 图 1-26 所 示 。 


网 络 和 主机 名 (-N) 
完成 (D] 





由 以 术 网 (ens33 ly 
NM] em ome) 





硬件 地 址 00:0C:29.29 6B.AC 
速度 1000 Mb/s 

虽 地 二 192 168 125 128 

于 RN 255.255 255.0 

抽 ABBh 192,168 125.2 


DNS 192.168 1252 


+ - 配置 fo 


主机 名 (H) : | locathorttocatdomain 应 用 [从 当 且 主机 名 :localhost 


1-26 网络 和 主机 名 设置 


(9) 安全 策略 设置 : 系统 提供 了 11 种 可 选 的 安全 策略 模板 ， 可 以 进行 加 载 ， 来 保证 
系统 的 高 级 安全 。 不 过 ， 在 此 ， 可 以 考虑 选择 default 默认 模板 ， 最 低 限 度 的 安全 模板 ， 或 
者 直接 关闭 安全 策略 功能 ， 以 免 在 后 续 实验 中 ， 因 为 安全 权限 问题 ， 导 致 各 种 意外 情况 出 
现 。 如 图 1-27 所 示 。 








(35. 


mm Linux 网 络 操作 系统 项 目 教程 








图 1-27 安全 策略 设置 


3. 设置 root 密码 ， 创 建 用 户 ， 安 装 完成 后 重启 系统 ， 进 行 安装 后 设置 


(1) root 是 Linux 的 最 高 权限 管理 账户 ， 如 图 1-28 所 示 。 设 置 一 个 复杂 的 密码 对 系统 
安全 有 重要 的 作用 。 如 果 密 码 设 置 过 于 简单 ， 会 要 求 连续 确认 两 次 。 良 好 的 密码 通常 建 
议 : 长 度 不 少 于 12 位 ， 至 少 包含 大 写字 母 、 小 写字 母 、 数 据 、 特 殊 字 符 四 类 字符 中 的 三 
种 ， 另 外 ， 内 容 是 真正 的 随机 ， 不 能 是 某 个 日 期 或 者 有 意义 的 单词 等 ， 这 样 ， 密 码 就 很 难 
强制 破解 了 ， 可 以 保证 账户 安全 。 因 为 这 样 的 密码 难以 记忆 ， 又 不 允许 记录 在 任何 地 方 (以 
免 泄 密 )， 所 以 ， 有 一 种 有 趣 的 方法 可 以 用 来 生成 可 靠 的 密码 。 首 先 选择 一 本 书 ， 然 后 按照 
某 种 规律 选择 一 个 位 置 ， 把 从 这 个 位 置 开始 的 每 个 单词 的 第 n 个 字母 连 在 一 起 ， 比 如 首 字 
母 ， 通 常 这 样 至 少 会 保证 大 小 写字 母 加 上 标点 字符 ， 长 度 能 保证 ， 密 码 组 成 随机 变化 ， 记 
住 规律 很 容易 ， 也 可 以 记 下 来 ， 密 码 忘 记 了 可 以 去 查 ， 外 人 也 非常 难 破解 。root 密码 一 般 
一 到 两 个 星期 就 会 更 换 ， 使 用 这 种 方法 就 可 以 产生 和 记忆 大 量 的 无 规律 密码 了 。 












而 时 CENTOS LINUX 7 安装 
中 -一 
CentOS rT 
RooT 窗 码 @ aarp 
ON Tse 






entOS Core SIG 
odie ux Distribliton 


重 
请 先 完 故 有 此 球 标 记 的 疡 时 再 于 行 下 一 忆 - 


1-28 root 密码 设置 和 创建 用 户 
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(2) 创建 用 户 : 因为 root 账户 具备 最 高 权限 ， 使 用 root 登录 系统 时 ， 如 果 不 小 心 误 操 
作 ， 可 能 引发 严重 后 果 。 因 此 ， 不 建议 使 用 root 账号 直接 登录 和 进行 日 常 操作 。 当 执行 管 
全 全 


理 职能 时 ， 可 临时 切换 到 root 账户 ， 完 成 管理 操作 就 立刻 退出 ; 或 者 直接 使 用 sudo 命令 
临时 提升 权限 。 因 此 ， 需 要 创建 日 常 使 用 的 普通 用 户 账户 ， 如 图 1-29 所 示 。 
































cot 林产 用 于 车 再 条 挤 ， 为 root 用 户 铺 入 应 奈 
Roce 密码 (R 
EE 





5 于 提供 的 密码 引 度 较 低 ; 密码 少 于 7 个 字符 。 字 和 本数 -完成 (Done) " 笋 针 两 次 方 可 确认 。 


1-29 设置 root 账号 密码 和 新 建 用 户 


(3) 设置 完成 ， 等 待 安装 完成 ， 如 图 1-30 所 示 。 
(4) 安装 完毕 ， 重 新 启动 系统 ， 如 图 1-31 所 示 。 
(5) 同意 许可 协议 ， 并 进行 网 络 和 主机 名 设置 ， 如 图 1-32 所 示 。 
(6) 安装 完成 ， 正 常 使 用 系统 ， 如 图 1-33 所 示 。 
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网 络 和 于 机 若 (M0) 


1-32 ”网 络 和 主机 名 设置 
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一 切 都 已 就 绪 ! 


图 1-33 ”安装 完毕 
任务 三 : 使 用 命令 行 方式 进行 系统 管理 


本 任务 我 们 要 关注 三 个 问题 。 

(1) CentOS 7 的 启动 过 程 。 了 解 服务 器 的 启动 过 程 、 命 令 执 行 、 关 机 和 重启 等 基本 的 
操作 。 

(2) CentOS 7 的 文件 系统 。 学 习 关 于 分 区 的 知识 和 管理 分 区 的 技能 。 

(3) CentOS 7 的 文件 操作 。 在 Linux 下 ， 一 切 皆 文件 ， 文 件 的 操作 是 最 基础 的 命令 。 


知识 储备 
1.8 系统 使 用 初步 
1.8.1 命令 行 界 面 与 图 形 用 户 界 面 
命令 行 界面 (Command Line Interface，CLD 是 指 主要 以 文本 方式 作为 工作 元 素 ， 并 主要 


以 键盘 作为 输入 工具 的 工作 方式 。CLI 采用 直接 输入 命令 和 参数 的 方式 直接 向 计算 机 发 送 
各 种 指令 ， 来 提高 工作 效率 ， 如 图 1-34 所 示 。 





1-34 ”命令 行 界面 CLI 











图 形 用 户 界面 (Graphical User Interface，GUD 是 以 图 形 作为 工作 元 素 并 以 鼠标 、 键 盘 协 
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同 作为 主要 输入 工具 的 工作 方式 。GUI 通常 使 用 大 量 的 图 标 来 标识 命令 ， 并 且 通 过 组 织 按 
钮 、 工 具 栏 、 对 话 框 等 元 素 的 方式 来 试图 提高 界面 的 直观 性 和 易 用 性 ， 如 图 1-35 所 示 。 


5 记 用 程序 ~ 攻 . 和 3 一 1107 可- 
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1-35 ”图 形 界面 GUI 


在 大 多 数 情况 下 ，GUI 比 CLI 更 易于 使 用 ， 而 CLI 则 更 高 效 。 

有 人 把 GUI 模式 称 为 所 见 即 所 得 (What You See Is What You Get，WYSIWYG)， 用 户 
以 自己 所 习惯 的 方式 向 系统 传递 指令 ， 并 可 以 立刻 在 屏幕 上 以 最 自然 的 方式 看 到 执行 结 
果 ， 系 统 可 以 保证 展示 出 来 的 东西 与 实际 处 理 ( 如 打印 、 泻 染 ) 后 的 结果 基本 保持 一 致 。 

CLI 软件 的 工作 方式 则 被 称 为 所 想 即 所 得 (What You Think Is What You Get, 
WYTIWYG)， 这 种 方式 的 特点 在 于 ， 虽 然 没 有 直观 地 反映 出 执行 结果 ， 但 却 能 保证 执行 结 
果 可 以 和 你 的 意图 一 致 。 因 为 用 户 的 意图 总 是 以 命令 加 参数 的 方式 精确 地 传递 给 系统 。 

对 于 CLI 方式 来 说 ， 你 想 做 的 任务 ， 系 统 会 一 点 不 打折 扣 的 完成 。 只 要 你 明确 知道 要 
做 什么 ， 知 道 怎么 下 达 命 令 给 计算 机 ， 你 就 能 达到 目的 。 要 做 到 这 一 点 ， 意 味 着 对 系统 逐 
步 深 入 的 学 习 和 对 命令 编程 知识 的 熟练 掌握 。 

对 比 来 看 ，GUI 界面 则 会 显示 功能 图 标 ， 看 着 很 清晰 ， 操 作 也 简单 ， 对 初学 者 很 友 
好 。 作 为 代价 ， 由 于 图 形 界面 要 使 用 很 多 的 服务 器 资源 ， 会 对 服务 器 性 能 造成 负面 影响 。 
因为 服务 器 的 核心 功能 是 为 用 户 提 供 服 务 的 ， 这 些 消耗 通常 会 被 认为 是 不 必要 的 浪费 ， 所 
以 ， 很 多 服务 器 是 不 安装 图 形 界面 的 。 

此 外 ，Linux 图 形 界面 下 的 管理 软件 功能 相 比 命令 行 管理 要 弱 一 些 ， 很 多 配置 只 能 在 
命令 行 模式 下 完成 。 

种 种 原因 直接 导致 : Linux 服务 器 的 管理 工作 以 命令 行 界面 为 主 。 


1.8.2 ”启动 过 程 与 常用 服务 


计算 机 启动 大 致 分 为 三 个 阶段 ， 第 一 个 阶段 是 计算 机 生产 集成 商 的 任务 ， 他 们 负责 硬 
件 的 检测 与 准备 ， 第 二 个 阶段 是 系统 软件 提供 商 的 任务 ， 他 们 负责 加 载 操作 系统 ， 第 三 个 
阶段 是 操作 系统 执行 用 户 相关 的 任务 ， 负 责 为 用 户 准备 适合 的 工作 环境 并 与 用 户 交 互 。 
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启动 时 ， 信 息 飞 速 显示 ， 难 得 看 到 详细 内 容 。 可 以 在 启动 完成 后 ， 输 入 dmesg 命令 来 
仔细 查看 启动 日 志 ， 了 解 系 统 的 启动 过 程 。 如 果 系 统 运行 有 问题 ， 也 可 以 通过 启动 日 志 查 
找 启动 时 的 故障 信息 。 使 用 more 分 屏 显 示 ， 这 样 显示 满 一 屏幕 后 会 暂停 ， 看 完 后 点 击 空 
格 继续 看 下 一 页 。 中 间 的 竖 线 也 不 要 忘 了 。 

例如 ， 查 看 启动 日 志 信息 ， 如 图 1-36 所 示 。 


#dmesglmore 















































8.888888] Initializing cgroup subst 
8.BBBB888] Initial 
8.888888] Initia 
8.888888] 
.5 28158623 (CR 
8.888888] 
nel=at 
8.888888] wm 
8.888888] ; al RAM map 
8.8B88881] 8BB8688688 -8xB8BBBBBBBBB9ebff ] 


8.BBBB88] BI( mem BxB88888888889ecB8-BxB88888888889ffff ] 
8.888888] BI( mem Gx888888888884c888-8x88888888888fffff ] 


图 1-36 ”查看 启动 日 志 信息 





第 一 个 阶段 : POST 一 Boot Sequence(BIOS) 一 BootLoader 一 加 载 操 作 系 统 

(1) POST( 加 电 自 检 ) 检 查 硬件 设备 是 否 存 在 并 良好 运行 。 

用 于 实现 POST(Power On Self Test， 加 电 自 检 ) 的 代码 在 主板 的 ROM(CMOS) 芯 片 
计算 机 按 了 开机 键 后 ， 计 算 机 系统 接 通 电源 ， 各 部 件 开始 准备 工作 。 自 检 程 序 we 恰 
测 各 功能 部 件 的 状态 ， 如 果 状 态 良 好 ， 就 开始 进行 启动 。 

(2) BootLoader( 引 导 加 载 器 ) 和 Boot Sequence( 启 动 顺 序 )。 

BIOS(Basic Input and Output System) 是 基本 输入 输出 系统 ， 固 化 在 主板 的 ROM 芯片 

。 在 BIOS 信息 中 查找 系统 启动 顺序 ， 按 顺序 查找 各 引导 设备 ， 第 一 个 有 引导 程序 的 设 
he ere 系统 启动 时 可 以 看 到 提示 ， 通 常 是 按 F2 键 、F11 键 或 者 
Del 键 进入 CMOS 设置 ， 有 的 主板 有 快捷 键 ， 可 以 直接 设置 启动 顺序 。 

如 图 1-37 所 示 ， 第 一 项 为 Removable Devices， 指 可 移动 设备 ， 软 盘 启 动 时 使 用 这 一 
项 ;第 二 项 为 Hard Drive， 硬 盘 启 动 使 用 它 ， 第 三 项 为 CD-ROM Drive， 光 盘 驱 动 器 启动 
时 使 用 它 ， 第 四 项 和 第 五 项 是 Network boot 网 络 启动 项 ， 可 以 通过 网 络 启动 。 不 同 的 主机 
设置 会 略 有 差别 。 





+Hard Driue 

CD-ROM Driue 

Network boot from Intel E1000 
Network boot from Intel E1000 #2 


图 1-37 选择 启动 设备 
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启动 时 ， 按 照 指 定 顺序 开始 查找 启动 目标 。 本 虚拟 机 开始 安装 系统 时 ， 没 有 软驱 ， 所 
以 第 一 项 略 过 ;第 二 项 硬盘 启动 项 ， 因 为 系统 还 没 安装 ， 硬 盘 无 法 启动 ， 所 以 也 略 过 ; 第 
三 项 时 查找 到 光驱 里 有 光盘 ， 就 会 从 光盘 安装 。 等 系统 安装 完成 后 ， 因 为 硬盘 已 经 可 以 启 
动 了 ， 所 以 虽然 光驱 仍然 能 够 启动 ， 但 是 硬盘 更 优先 。 否 则 如 果 光 盘 启动 在 前 的 话 ， 我 们 
在 拿 走 光盘 前 ， 会 重复 启动 安装 ， 而 不 会 加 载 硬盘 上 的 操作 系统 。 

如 果 觉 得 启动 顺序 不 能 满足 你 的 需要 ， 可 以 调整 启动 顺序 。 

运行 引导 加 载 器 程序 ， 它 会 提供 一 个 菜单 ， 允 许 用 户 选 择 要 启动 的 系统 项 ， 如 图 1-38 
所 示 。 把 用 户 选 定 的 操作 系统 内 核 装 载 到 内 存 的 特定 空间 中 ， 解 压 、 展 开 ， 而 后 把 系统 控 
制 权 移交 给 内 核 程序 。 




















1-38 ”GRUB 启动 选择 项 


在 现在 的 Linux 发 行 版 中 ， 统 一 引导 加 载 器 (Grand Uniform Bootloader，GRUB) 是 最 流 
行 的 BootLoader。 

第 二 个 阶段 ，Kernel 一 rootfs 一 switchroot 一 systemd 进行 用 户 配 置 

(3) 操作 系统 Kemel( 内 核 ) 加 载 ， 开 始 工作 。 

Kernel 自身 初始 化 后 ， 会 探测 可 识别 到 的 所 有 硬件 设备 ， 加 载 硬件 驱动 程序 ， 根 文件 
系统 起 初 以 只 读 方 式 挂 载 ， 当 Kemel 加 载 完成 后 ， 根 文件 系统 正式 以 读 写 方式 挂 载 ， 接 下 

会 运行 systemd 加 载 系统 服务 和 配置 。 

第 三 个 阶段 : systemd 选择 target， 启 动 对 应 服务 一 启动 终端 一 登录 

(4) systemd 管理 用 户 服务 进程 。 

systemd 使 用 target 来 进行 用 户 配置 。 文 本 界面 对 应 于 multi-user.target， 图 形 界面 对 应 
于 graphical.target。 系 统 默认 启动 的 target 是 default.target， 位 置 在 /etc/systemd/system/ 目 
录 ， 它 是 一 个 符号 连接 ， 指 向 某 一 个 target。 要 修改 默认 运行 级 别 ， 首 先 删 除 已 经 存在 的 
符号 连接 “rm /etc/systemd/system/default.target”， 然 后 修改 默认 级 别 ， 即 把 默认 级 别 指向 
新 的 target， 例 如 转换 为 文本 模式 systemctl enable multi-user.target， 最 后 重新 启动 reboot 即 
可 。 或 者 执行 systemctl set-default multi-user.target， 效 果 相 同 。 

例 1， 把 默认 启动 界面 设置 为 multi-user.target， 如 图 1-39 所 示 。 

#1s -1 /etc/systemd/system/default .target 

#systemctl1 set-default multi-user.target 

如 果 是 用 文本 方式 (multi-user.target) 启 动 ， 但 是 也 安装 了 图 形 环境 ， 可 以 执行 命令 
startx 进入 图 形 界面 。 
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[root@liuxuegong A SUstemd 
default.target 


bus-org .fedoraproject .FirewallD1 .service 
bus-org .freedesktop .NetworkManager .service 
bus-org .freedesktop .nm-dispatcher .service 
[a “]# 1s vet ystem/default .target -1 
lrupaupauwx .1 root root 37 /etc/systeml/system/default .target -> 


lti-user.target 


reated SUmlink from /etc/systemd/system/default.target to /usr. 








加 





1-39 ”默认 启动 模式 设 定 








> J 


例 2， 查 看 正在 运行 的 target， 如 图 1-40 所 示 。 系 统 启动 后 ， 可 以 查看 当前 正在 运行 
的 target， 可 以 看 到 有 17 个 target 正在 运行 ， 其 中 包括 multi-user.target( 多 用 户 文本 环境 )。 
每 个 target 包含 一 部 分 功能 。 





#systemctl1 list-units --type=target 


[root@localhost /] U 
LOAD 
loaded 
loaded Bluetooth 
loaded tive Encrypted Volume 
loaded acti active Login Prompts 
loaded active active Local F 
loaded active active Local File 
loaded active ac Multi-User 
loaded active > Network 
loaded active 
loaded active 
loaded active 
loaded active 
loaded active a 
loaded a 

wap.target loaded 

ysinit.target loaded 

.target loaded a 


= Ref lects whether the unit def inition was properly loaded. 
”= The high-level unit activation state, i.e. generalization of SUB. 
= The low-level umit acti ion state, values depend on umit tupe . 


17 loaded units listed. Pass --all to loaded but inactive units, too. 
show all installed unit files us emctl list-unit-files’ 
[a 7]# 








图 1-40 ”查看 系统 启动 时 哪些 target 在 运行 





在 CentOS 7 中 ， 使 用 systemctl 命令 来 控制 服务 : 


# systemctl startl|stoplrestart|status name[.service] 


其 中 start 表示 启动 服务 ，stop 表示 关闭 服务 ，restart 表示 重新 启动 服务 ，status 表示 显 
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示 服 务 状态 信息 ; 





服务 名 称 


crond 


name 就 是 要 管理 的 服务 名 称 。 
对 于 target， 我 们 可 以 进行 相应 的 配置 ， 启 用 或 者 关闭 相应 的 服务 。 在 企业 场景 中 ， 
最 常用 的 启动 服务 如 表 1-1 所 示 。 





表 1-1 最 常用 的 启动 服务 


服务 功能 介绍 
该 服务 用 于 周期 性 地 执行 系统 及 用 户 配置 的 计划 任务 。 有 要 周期 性 执行 的 
任务 计划 需要 开启 时 ， 此 服务 是 生产 场景 必须 用 的 一 个 软件 。 简 单 理解 ， 
这 个 服务 就 是 在 指定 的 时 间 完 成 指定 的 任务 ， 如 果 你 不 想 每 天 凌晨 3 点 起 
来 备份 系统 的 话 ， 那 么 就 别 忘 了 它 





firewalld 


防火 墙 ， 拦 截 外 界 非 法 信息 ， 安 全 必 备 





target 会 启动 图 形 界 盏 


图 形 界 F 


NetworkManager 


sshd 


TSyslog 


sysstat 





网 络 管理 服务 ， 配 置 网 络 必 备 

远程 连接 Linux 服务 器 时 需要 用 到 这 个 服务 程序 ， 所 以 必须 开启 ， 否 则 你 
将 无 法 远程 连接 到 你 的 服务 器 。 一 定 要 记 住 ， 服 务 器 绝 大 多 数 情况 下 ， 都 
放 在 互联 网 数据 中 心 (Internet Data Center，IDC) 机 房 。 想 要 操作 计算 机 ， 你 
就 需要 sshd 

rsyslog 是 操作 系统 提供 的 一 种 日 志 服务 ， 系 统 的 守护 程序 通常 会 使 用 
rsyslog 将 各 种 信息 收集 写 入 到 系统 日 志文 件 中 

sysstat 是 一 个 软件 包 ， 包 含 监测 系统 性 能 及 效率 的 一 组 工具 ， 这 些 工 具 对 
于 Linux 系统 性 能 数据 很 有 帮助 ， 比 如 CPU 使 用 率 、 硬 盘 和 网 络 吞 吐 数据 
等 ， 这 些 数据 的 分 析 ， 有 利于 判断 系统 运行 是 否 正常 ， 它 是 提高 系统 运行 
效率 、 安 全 运行 服务 的 助手 


例 3， 管 理 firewalld 服务 : 


#sYSstemct1 start firewalld.service 
启动 firewalld 服务 

#systemctl stop firewalld.service 
停止 firewalld 服务 

#systemctl restart firewalld.service 
重新 启动 firewalld 服务 

#systemctl status firewalld.service 
查看 firewalld 服务 的 状态 

#systemctl enable firewalld.service 


把 firewalld 服务 设置 为 开机 自动 启动 
(5) 启动 用 户 接口 ， 接 受用 户 操作 。 


接 下 来 ， 根 据 启动 设置 的 不 同 ，multi-user.target 会 启动 命令 行 界 
(GUD， 让 用 户 登录 和 使 用 系统 。 




















(CLI), graphical. 








一 般 情况 下 ，Linux 会 启动 ttyl~tty7 共 7 个 虚拟 终端 ， 其 中 1~6 是 命令 行 界面 ，7 是 




















面 。 终 端 切换 使 用 Ctrl+AlttF1~F7 组 合 键 即 可 (如 果 没 有 运行 图 形 界面 ， 那 么 可 以 


使 用 AlttF1~F6 组 合 键 切换 )。VMware 虚拟 机 占用 了 Ctrl+Alt 快捷 键 ， 所 以 需要 为 虚拟 机 
.AS4N， 
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重新 设置 相应 的 快捷 键 。 在 VMware 菜单 条 中 选择 “编辑 ”一 “首选 项 ”， 在 弹出 的 对 话 
框 中 选择 “ 热 键 ”， 把 淡 蓝 色 选 中 的 Ctrl 键 和 Alt 键 修改 成 别 的 组 合 ， 比 如 Ctrl 键 和 Shift 
键 ， 然 后 单 击 “ 确 定 ” 按 钮 保存 后 退出 ， 如 图 1-41 所 示 。 这 样 我 们 就 可 以 使 用 
Ctrl+Alt+F1~F7 热 键 组 合 在 Linux 的 多 个 虚拟 终端 间 切 换 了 。 











避 工 区 热 寺 请 
热 当 可 提供 常用 座 拟 机 操作 的 快捷 方式。 音 击 下 面 按 包 可 修改 热 键 。 


Ctrl Shift Ak Wn 


要 从 当前 的 虚拟 机 中 释放 控制 ， 请 按 Ctrl+Ak。 
要 进入 或 离开 全 屏 模式 ， 请 按 Ctrl+Ak+Enter。 
要 切换 到 前 一 个 全 屏 虚 拟 机 ， 请 按 Ctrl+AK + 向 左 箭头 键 。 
要 切换 到 下 一 个 全 屏 虚拟 机 ， 请 按 Ctrl+Ak + 向 右 箭头 键 。 


也 要 将 包含 Ctri+Akt 的 键 组 合 直接 发 送 到 客户 机 ， 请 按 Ct+Ak + 空格 键 ， 释 放 
空格 键 ， 同 时 不 要 释放 Ctrl+Ak， 然 后 按 所 需 的 键 。 


确定 取消 帮助 





1-41 ”修改 虚拟 机 热 键 设置 
1.8.3 ”登录 与 退出 系统 


Linux 系统 是 多 用 户 的 操作 系统 ， 每 次 启动 时 都 需要 验证 用 户 的 身份 ， 需 要 用 户 进 

在 安装 过 程 中 ， 我 们 设 定 了 系统 最 高 管理 账号 root 的 密码 ， 所 以 我 们 可 以 使 用 root 账 
号 登录 系统 ， 我 们 也 创建 了 至 少 一 个 普通 用 户 账号 ， 设 定 了 用 户 名 称 和 用 户 密码 ， 我 们 也 
可 以 使 用 普通 用 户 账号 进行 登录 ， 如 图 1-42 所 示 。 




















ent0s Linux ? (Core) 
Kernel 3.18.8-514.el1?.x86_64 on an x8 


localhost login: root 


26 88 





图 1-42 系统 登录 


.55 
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系统 启动 成 功 后 ， 屏 幕 显示 提示 信息 “localhost login:”， 这 时 输入 超级 用 户 名 root， 
然后 按 Enter 键 。 接 下 来 ， 用 户 会 在 屏幕 上 看 到 输入 密码 的 提示 “Password:”， 此 时 输入 
密码 ， 再 按 Enter 键 。 输 入 密码 时 ， 密 码 不 会 在 屏幕 上 显示 出 来 。 当 用 户 正确 地 输入 用 户 
名 和 密码 后 ， 屏 幕 显示 “#” 提 示 符 ， 此 时 说 明 该 用 户 已 经 登录 到 系统 中 ， 可 以 进行 操作 
了 。 这 里 的 “#” 提 示 符 是 超级 用 户 的 系统 提示 符 。 如 果 是 普通 用 户 登 录 ， 登 录 成 功 后 显 
示 “$”， 此 时 “$” 提 示 符 是 普通 用 户 的 提示 符 。 

不 论 是 超级 用 户 ， 还 是 普通 用 户 ， 需 要 退出 系统 时 ， 在 Shell 提示 符 下 键入 exit 命令 
即 可 。 

如 果 想 要 关闭 服务 器 ， 可 以 在 root 权限 下 执行 “systemctl poweroff” 或 “shutdown -h 
now”; 如 果 想 要 重新 启动 服务 器 ， 可 以 在 root 权限 下 执行 “systemctl reboot ”或 者 
“shutdown -r now”。 对 于 服务 器 来 说 ， 因 为 需要 连续 不 断 地 向 互联 网 提供 服务 ， 所 以 没 
有 特殊 情况 是 不 会 关机 或 者 重启 的 。 服 务 器 通常 会 连续 运行 数 个 月 甚至 数 年 的 时 间 。 


1.8.4 vi 编辑 器 的 使 用 

















Vi 是 Linux 环境 下 广泛 使 用 的 文本 编辑 器 。 在 所 有 的 Linux 发 行 版 中 ， 都 安装 了 vi， 
这 是 其 他 任何 一 种 编辑 器 都 不 具备 的 优势 。 另 外 ，vi 也 具备 很 强 的 编辑 功能 ， 是 最 流行 的 
编辑 器 之 一 。 在 服务 器 管理 上 ，vi 是 首选 的 ， 也 是 必须 掌握 的 编辑 器 。 

使 用 vi 时 的 简洁 语法 如 下 : 

#vi 文件 名 

Vi 共 分 为 三 种 模式 ， 分 别 是 命令 模式 、 编 辑 模式 与 末 行 模式 ， 如 图 1-43 所 示 。 


退出 命令 







: 或 者 /或 者 ? 


ey 
eo-> 


命令 结束 
EC 
图 1-43 vi 的 三 种 工作 模式 


打开 文件 直接 进入 命令 模式 ， 在 命令 模式 下 ， 可 以 使 用 如 表 1-2 所 示 的 按键 进入 文本 
编辑 模式 。 





.se. 


项 目 一 _Linux 系统 的 安装 和 基 木 配 兰 仇 国 轨 


表 1-2 命令 及 功能 介绍 

















在 当前 光标 所 在 行 的 下 方 添加 一 行 ， 并 且 在 新 加 行 的 行 首 添加 文本 


在 编辑 模式 下 ， 当 用 户 希 望 回 到 命令 模式 的 时 候 ， 只 能 在 编辑 模式 下 使 用 Esc 键 切换 
到 命令 模式 。 

在 命令 模式 中 ， 输 入 “ : / ? ”三 个 中 的 任何 一 个 ， 就 可 以 将 光标 移动 到 屏幕 最 底下 
那 一 行 ， 通 常 我 们 把 这 种 工作 模式 称 为 “ 末 行 模式 ”(Last Line Mode)， 在 末 行 模式 中 ， 
可 以 提供 搜索 、 读 取 文 件 、 存 盘 、 查 找 蔡 换 、 离 开 vi、 显 示 行 号 等 功能 。 

1. 删除 功能 


在 vi 的 编辑 模式 下 ， 用 户 可 以 使 用 BackSpace( 退 格 键 ) 来 删除 光标 前 面 的 内 容 ， 还 可 
以 使 用 delete 键 来 删除 当前 的 字符 。 在 vi 的 命令 模式 下 ， 还 提供 了 几 个 按键 用 来 删除 一 个 
字符 或 进行 整 行 删 除 ， 其 热 键 及 功能 如 表 1-3 所 示 。 
表 1-3 vi 删除 命令 及 功能 





命 令 功 能 
于 删除 当前 光标 所 在 的 字符 
dw 删除 光标 所 在 单词 字符 至 下 一 个 单词 开始 的 几 个 字符 
ds 或 Shiftrd 删除 从 当前 光标 至 行 尾 的 所 有 字符 
dd 删除 光标 所 在 的 行 


表 中 所 述 的 组 合 键 ， 如 dw 表示 先 按 下 d 键 ， 再 按 下 w 键 。 此 外 ， 用 户 还 可 以 在 使 用 
删除 的 组 合 键 的 时 候 指定 要 删除 的 行 及 字符 的 数量 。 其 用 法 如 下 。 

(1) 3x: 表示 删除 从 当前 光标 所 在 位 置 开 始 ， 向 后 的 3 个 字符 。 

(2) 4dd: 表示 删除 从 光标 所 在 的 行 开始 连续 向 后 的 4 行 。 

Vi 提供 了 以 行 号 表示 范围 的 删除 方法 ， 在 命令 模式 下 输入 “:set number” 或 “:set nu” 
以 显示 行 号， 再 按 “ 开 始 行 号， 结束 行 号 d” 语 法 输入 删除 命令 ， 这 样 从 开始 行 到 结束 行 
都 将 被 删除 。 例 如 ， 要 删除 第 4 行 到 第 6 行 的 内 容 ， 可 以 使 用 : 


:4,6 d<Enter> 

命令 输入 结束 后 ，vi 会 在 状态 行 中 显示 被 删除 的 行 数 。 

2. 撤消 功能 

对 于 一 个 编辑 器 来 说 ， 提 供 撤消 功能 是 必要 的 。 用 户 在 命令 模式 下 输入 “:u” 后 按 
37. 
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Enter 键 ， 就 可 以 撤消 上 一 次 操作 。 

在 vi 中 ,撤消 功 能 每 一 次 撤消 的 是 自 上 次 存盘 到 现在 输入 的 内 容 ， 因 此 撤消 能 够 恢复 

到 最 原始 的 状态 ， 但 是 此 时 用 户 不 能 使 用 “:q” 命 令 来 退出 vi， 因 为 此 时 用 户 已 经 修改 了 
缓冲 区 的 内 容 。 如 果 确 实 需要 退出 vi 程序 ， 可 以 使 用 在 命令 模式 下 的 “:q!”。 


3. 复制 与 粘贴 功能 
复制 和 粘贴 是 最 常用 到 的 功能 ，vi 在 命令 模式 下 也 可 以 方便 地 实现 ， 如 表 1-4 所 示 。 
表 1-4 vi 复制 与 粘贴 命令 


命 令 功 能 



































yw 将 光标 所 在 之 处 到 字 尾 的 字符 复制 到 缓冲 区 中 

WW 复制 光标 所 在 行 到 缓冲 区 

#yy 例如 ，6yy 表示 拷贝 从 光标 所 在 的 该 行 “ 往 下 数 ”6 行文 字 

将 缓冲 区 内 的 字符 贴 到 光标 所 在 位 置 。 注 意 所 有 与 “y” 有 关 的 复制 命令 都 必须 与 “p” 








配合 才能 完成 复制 与 粘贴 功能 


4. 查找 与 蔡 换 功能 
在 vi 中 同样 提供 了 字符 串 查找 功能 ， 用 户 可 以 进行 从 当前 光标 的 位 置 开始 向 前 和 向 后 
的 字符 串 查找 操作 ， 还 可 以 重复 上 一 次 的 查找 ， 如 表 1-5 所 示 。 当 vi 查找 到 文本 的 头 部 或 
尾部 的 时 候 ， 继 续 循环 查找 ， 直 到 全 部 文本 被 查找 一 遍 。 被 找到 的 字符 串 会 以 反 白 显示 。 
在 vi 的 查找 中 可 以 使 用 匹配 查找 ， 使 用 “.” 代 表 一 个 任意 字母 。 如 使 用 “:/d.c” 可 以 找到 
“dpc” 字 符 串 。 另 外 ，Yi 的 字符 串 查找 是 大 小 写 敏感 的 ， 即 “Dpc” 和 “dpc” 不 同 。 
表 1-5 vi 查找 命令 及 功能 














命 令 功 能 
?字符 串 从 当前 光标 位 置 开 始 向 后 查找 字符 串 
/字符 串 从 当前 光标 位 置 开 始 向 前 查找 字符 串 
继续 上 一 次 查找 
Shifttm 以 相反 的 方向 继续 上 一 次 查找 





查找 并 蔡 换 : 
: [ 葵 换 范围 ] s/ 要 蔡 换 的 内 容 / 蔡 换 成 的 内 容 / [cvevgvi] 
替换 范围 指定 从 第 几 行 开 始 到 第 几 行 结 束 。 例 如 ，1.8 表示 从 第 一 行 到 第 8 行 ，1.3 表 











示 从 第 一 行 到 最 后 一 行 ， 即 整 篇 文章 的 范围 ，% 也 表示 整 篇 文章 。 
c: 蔡 换 前 会 进行 询问 
e: 不 显示 错误 
g: 不 询问 ， 整 行 痊 换 
i: 不 分 大 小 写 
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例如 : 


:s/testword/sky1/ 
替换 当前 行 第 一 个 testword 为 sky1 
:1,$s/testword/sky2/ 
替换 整 篇 文章 第 一 个 testword 为 sky2 
:$5s/testword/sky3/g 
替换 整 篇 文章 所 有 testword 为 sky3 


5. 环境 设置 
在 vi 编辑 器 中 有 很 多 环境 参数 可 以 设置 ， 通 过 环境 参数 的 设置 ， 可 以 增加 vi 的 功 
能 。 这 里 仅 介绍 vi 常用 的 参数 ， 这 些 参 数 可 以 在 vi 的 命令 模式 下 使 用 ， 或 者 在 
/etc/vim/vimre 中 设置 ，vi 启动 时 就 会 使 用 vimrc 中 的 参数 来 初始 化 vi 程序 。 
Vi 程序 的 常用 参数 及 设置 方法 如 表 1-6 所 示 ， 其 中 ，set 命令 是 用 来 设置 这 些 参数 的 。 
表 1-6 vi 环境 设置 命令 


设置 命令 设置 效果 
:set ai 或 :set autoindent 自动 缩 进 ， 每 一 行 开头 都 与 上 一 行 的 开头 对 齐 
:set nu 或 :set number 在 编辑 时 显示 行 号 
:set dir=./ 将 交换 文件 .swp 保存 在 当前 目录 


:set sw=4 或 :set shiftwidth=4 设置 缩 进 的 字符 数 为 4 


开启 语法 着 色 





:syntax on 





表 注意 : 学习 和 使 用 vi 就 像 弹 钢琴 ， 稍 微 学 学 ， 谁 都 可 以 弹出 “两 只 老虎 ”的 旋 
律 ， 但 是 要 弹出 美妙 的 音乐 ， 需 要 深入 学 习 和 不 断 地 练习 。 这 里 介绍 的 是 如 
的 常用 操作 ， 并 不 是 全 部 ， 使 用 vi 的 技巧 更 需要 自己 不 断 探索 和 掌握 。 


任务 实践 


1.9 文件 系统 管理 
1.9.1 Linux 磁盘 分 区 和 目录 


Linux 的 文件 结构 是 单一 的 树 状 结构 。 我 们 使 用 中 会 把 硬盘 分 成 若干 个 部 分 ， 称 为 
“分 区 ”， 在 Linux 环境 下 ， 任何 一 个 分 区 都 必须 挂 载 到 这 棵 “ 树 ” 的 某 个 目录 上 。 
目录 是 系统 目录 树 上 的 某 个 位 置 ， 分 区 是 物理 上 的 某 块 空间 ， 所 有 分 区 都 必须 挂 载 到 
目录 树 中 的 某 个 具体 的 目录 上 才能 进行 读 写 操作 。 

“/”( 根 目录 ) 是 Linux 目录 树 的 最 上 层 唯一 节点 ， 整 个 文件 系统 所 有 的 文件 和 目录 ， 

都 是 存储 在 它 之 下 的 某 个 节点 。 在 安装 系统 时 ， 我 们 会 把 创建 的 某 一 个 磁盘 分 区 挂 载 到 根 
目录 上 。 如 果 还 有 其 他 的 分 区 ， 我 们 可 以 把 它们 挂 载 到 文件 系统 的 某 一 个 目录 下 ， 例 如 
“/boot”、“/mnt” 或 者 任意 一 个 子 目录 下 ， 之 后 才能 对 分 区 上 的 文件 进行 正常 的 读 写 。 
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例 1， 查 看 根 目录 下 的 子 目录 ， 如 图 1-44 所 示 。 
#1ls / 


[rootBelocalhost 





Lroot@loc alhost ~ 


图 1-44 ” 根 目 录 下 的 第 一 级 子 目录 





为 什么 要 把 硬盘 分 区 呢 ? 把 所 有 空间 分 成 一 个 区 ， 全 答 源 ， 可 
以 最 有 效 地 利用 磁盘 空间 ， 似 乎 也 是 不 错 的 方案 。 这 样 ， 我 们 可 以 把 这 个 包含 所 有 空间 的 
分 区 直接 设 定 为 根 目 录 ， 就 可 以 正常 使 用 了 ， 这 是 最 简单 的 方法 。 

在 实际 工作 中 ， 分 区 才 是 常态 。 把 硬盘 进行 分 区 ， 可 以 提升 系统 性 能 和 效率 ， 获 得 更 
多 好 处 。 

(1) 分 区 后 可 以 把 不 同 的 资料 ， 分 别 放 入 不 同 分 区 中 管理 ， 这 样 ， 当 磁盘 出 现 局 部 故 
障 时 ， 其 他 分 区 不 会 受到 影响 ， 其 次 ， 太 大 的 分 区 存储 太 多 的 信息 ， 会 直接 导致 搜索 变 
慢 ， 数 据 访问 效率 会 降低 ; 另外 ，“/home”( 用 户主 目录 )、“/var”( 网 站 、FTP、E-mail 
等 服务 工作 目录 )、“Amsrlocal”( 用 户 软件 安装 目录 ) 等 目录 文件 操作 频 发 ， 容 易 产 生 磁 盘 
碎片 ， 通 常 应 该 单独 分 区 。 

(2) 对 于 服务 器 来 说 ， 稳 定 的 要 求 超 乎 一 切 。 如 果 服 务 器 配置 不 当 ， 某 些 用 户 或 者 服 
务 可 能 会 占据 大 量 空间 ， 严 重 时 ， 有 可 能 耗 尽 整个 磁盘 空间 ， 最 终 导致 服务 器 不 稳定 甚至 
死机 。 如 果 把 用 户主 目录 “/home” 和 服务 所 使 用 的 目录 “/var” 单 独 分 区 ， 那 么 即使 耗 尽 
了 用 户 所 在 分 区 的 所 有 空间 ， 也 不 会 影响 到 根 分 区 ， 进 而 影响 整个 系统 的 稳定 。 

我 们 可 以 使 用 命令 查看 分 区 和 目录 的 使 用 情况 。“fdisk -1” 命 令 可 以 查看 硬盘 分 区 
表 ，“df” 命 令 可 以 查看 各 分 区 的 使 用 情况 ，“du” 命 令 可 以 查看 目录 下 各 文件 占用 空间 
的 情况 。 如 图 1-45 所 示 。 














图 1-45 ”查看 分 区 信息 和 挂 载 情况 
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例 2， 查 看 磁盘 的 分 区 情况 。 

#fdisk —1 

从 图 1-45 可 以 看 出 ， 虚 拟 机 有 一 块 磁盘 ， 设 备 名 称 是 /dev/sda， 共 21.5GB 存储 空间 ; 
磁盘 被 分 成 两 个 分 区 ，/dev/sdal 和 /dev/sda2，sdal 分 区 是 启动 分 区 ; sda2 使 用 卷 管理 ， 下 
面 又 分 了 两 个 卷 ， 一 个 占 18.2GB， 另 一 个 2GB(2147MB)。“fdisk -1” 并 不 能 看 到 这 些 分 
区 的 挂 载 位 置 ， 只 能 查看 磁盘 的 分 区 情况 。 

例 3， 查 看 磁盘 的 挂 载 情况 ， 如 图 1-46 所 示 。 


#df 








[root@localhost ~]# df 
Fi lesustem 1K-block: vailable 2X Mounted on 
su/mapper/cl-root 17 
fs 上 2 8 dev 


@: shm 


8， SUSA SAcgroup 
14 boot 
Bx “runvuservB 





图 1-46 ”查看 挂 载 分 区 的 信息 
如 图 1-46 可 以 看 出 ，18.2GB 的 “cl-root” 卷 挂 载 在 “/”， 是 根 分 区 ，/dev/sdal 挂 载 
在 “/boot” 目 录 上 ， 是 启动 分 区 ， 上 一 条 fdisk 命令 查看 到 的 2GB 的 “cl-swap” 卷 不 需要 
挂 载 ， 是 交换 分 区 。 图 中 还 有 一 些 tmpfs 之 类 的 ， 这 些 实际 上 是 内 存 ， 系 统 运行 时 创建 的 
虚拟 分 区 。 另 外 交换 分 区 swap 在 这 里 并 不 显示 。 
例 4， 查 看 /root 目录 下 所 有 文件 所 占用 的 空间 ， 如 图 1-47 所 示 。 
#du -sh /Foot 


[root@localhost ~“]# du -sh /root 





36kK root 


图 1-47 查看 指定 目录 里 的 文件 总 大 小 
从 图 1-47 可 以 看 出 ，“/root” 文 件 夹 下 的 文件 和 子 目 录 共 占 用 36KB 的 存储 空间 。 
1.9.2 ”使 用 mount 命令 挂 载 设备 分 区 


当 要 使 用 某 个 设备 时 ， 例 如 要 读 取 硬 盘 中 的 一 个 格式 化 好 的 分 区 、 光 盘 或 U 盘 等 设备 
时 ， 必 须 先 把 这 些 设备 对 应 到 某 个 目录 上 ， 而 这 个 目录 就 称 为 “ 挂 载 点 ”(mount poinb， 
这 样 才 可 以 读 取 这 些 设备 ， 而 这 些 对 应 的 动作 就 称 为 “ 持 载 ”。 使 用 “mount” 命令 可 以 



































进行 挂 载 操 作 。 

所 有 的 磁盘 分 区 都 必须 被 挂 载 上 才能 使 用 ， 那 么 我 们 机 器 上 的 硬盘 分 区 是 如 何 被 自动 
挂 载 的 呢 ? 

系统 在 启动 时 ， 会 查看 “/etc/fstab” 文 件 。 每 次 启动 它 会 根据 fstab 文件 中 的 信息 自动 
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挂 载 文 件 系 统 。 移 动 硬盘 和 U 盘 启 动 时 一 般 不 会 连接 在 计算 机 上 ， 所 以 通常 不 会 设置 为 自 


动 挂 载 ， 
Ei 





就 需要 使 用 mount 命令 来 手动 挂 载 了 。 
挂 载 (mount) 命 令 的 使 用 方法 


挂 载 (mount) 命 令 的 使 用 方法 如 下 : 


#mount [-t vfstype] [-o options] device dir 


(D) 


-t vfstype: 指定 文件 系统 的 类 型 。 通 常 不 必 指 定 ，mount 会 自动 选择 正确 的 类 


型 。 常 用 文件 类 型 如 表 1-7 所 示 。 


表 1-7 常见 的 文件 系统 类 型 


设备 名 称 设备 类 型 
光盘 或 光盘 镜像 iso9660 
DOS FAT 16 文件 系统 msdos 
Windows 9x FAT 32 文件 系统 vfat 
Windows NT NTFS 文件 系统 ntfs 
Windows 文件 共享 smbfs 
Unix(Linux) 文 件 共享 nfs 


(2) 


iocharse 


G3) 
(4 


-0 options: 主要 用 来 描述 设备 或 文件 的 挂 接 方式 。 常 用 的 参数 如 表 1-8 所 示 。 
表 1-8 mount 命令 的 挂 载 选项 


功能 介绍 
用 来 把 一 个 文件 当成 硬盘 分 区 挂 接 上 系统 
采用 只 读 方 式 挂 接 设备 
采用 读 写 方式 挂 接 设备 


t 指定 访问 文件 系统 所 用 字符 集 








device: 要 挂 载 (mount) 的 设备 。 
dir: 设备 在 系统 上 的 挂 载 目 录 (mount point)。 





2. 挂 载 光盘 


要 提 
行 挂 载 ， 


E 载 光盘 ， 首 先 需 要 使 用 mkdir 命令 来 创建 要 挂 载 的 目录 ， 然 后 使 用 mount 命令 进 
光盘 的 默认 设备 名 称 是 /dev/cdrom， 光 盘 的 文件 类 型 是 iso9660。 如 果 要 挂 载 的 是 


光盘 的 镜像 文件 ， 需 要 添加 “-o loop” 参 数 。 


例 妇 





0， 挂 载 光盘 : 


#mkdir /mnt/cdroml 





建 光盘 的 挂 载 目 录 


#mount -t iso9660 /dev/cdrom /mnt/cdroml 
挂 载 光 盘 到 /mnt/cdrom1，/dev/cdrom 是 光盘 驱动 器 的 设备 文件 


#15 
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/mnt/cdroml 
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查看 光盘 下 的 内 容 
#mkdir /mnt/cdrom2 
创建 光盘 镜像 的 挂 载 目录 
#mount -o loop -t iso9660 eh iso /mnt/cdrom2 
挂 载 光 盘 镜 像 .iso 文件 ， 要 加 上 -o loop 进行 挂 载 
#1s /mnt/cdrom2 
查看 光盘 镜像 下 的 内 容 


3. 挂 载 U 盘 或 者 移动 硬盘 

对 Linux 系统 而 言 ，USB 接口 的 U 盘 和 移动 硬盘 一 样 ， 是 当 作 SCSI 设备 对 待 的 。 插 
入 UU 盘 或 者 接 入 移动 硬盘 之 前 ， 应 先 用 “fdisk -1” 或 “more /proc/partitions” 查 看 系统 的 
硬盘 和 硬盘 分 区 情况 。SCSI 接口 的 硬盘 ， 系 统 会 标识 为 “sd”(SCSI Disk)， 第 一 块 硬盘 用 
“a” 表 示 ， 后 面 依次 用 b、c、d 来 表示 。 每 块 磁盘 可 以 分 成 多 个 分 区 ， 序 号 依 序 是 1、 
2、3、4 等 ，1~4 是 主 分 区 ，5 开始 之 后 是 逻辑 分 区 。 

例 1， 使 用 “fdisk -1” 查 看 未 挂 载 U 盘 时 的 分 区 情况 ， 如 图 1-48 所 示 。 


ES 


[rootB@localhost ~]# fdisk -1 


da: 21.5 488 bytes, 41943848 sectors 
sectors of 1 
ize (logicalzphysical): < 
(minimm/optimal): S12 byte 


Disk latel tupe: do 
Disk identifier: Bx8886e868 


e Boot 人 End Blocks Id System 
2899199 4 83 Linux 
3 > 工 inux LUM 





图 1-48 ”查看 磁盘 分 区 情况 


如 图 1-48 所 示 ， 虚 拟 机 当前 配置 有 一 块 硬盘 ， 被 识别 为 sda。 硬 盘 分 成 了 两 个 区 ， 
sdal 和 sda2 。 

插入 U 盘 ( 或 移动 硬盘 ) 后 ， 再 用 “fdisk -1” 或 “more /proc/partitions” 查 看 系统 的 硬盘 
和 硬盘 分 区 情况 。 

因为 当前 工作 环境 是 虚拟 机 ， 我 们 可 能 还 需要 设置 一 下 虚拟 机 来 连接 USB 设备 。 

选择 菜单 中 “虚拟 机 ”一 “可 移动 设备 ”， 找 到 你 要 挂 载 的 U 盘 设 备 ， 选 择 “ 连 
接 ”， 来 连接 U 盘 ， 如 图 1-49 所 示 。 

完成 后 ， 再 查看 一 下 硬盘 信息 。 如 图 1-50 所 示 ， 我 们 可 以 看 到 新 增 了 一 个 磁盘 
/dev/sdb， 上 面 有 一 个 分 区 /dev/sdbl1， 类 型 是 W95 FAT32， 这 就 是 我 们 要 挂 载 的 U 盘 。 

例 2， 使 用 “fdisk -1” 查 看 U 盘 或 移动 硬盘 的 设备 名 称 ， 作 为 挂 载 参数 : 


#fdisk -1 


创建 挂 载 目 录 ， 并 进行 挂 载 ， 挂 载 文 件 系统 类 型 为 vfat。 如 果 要 显示 中 文 信息 ， 可 以 
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增加 参数 “-o iocharset=cp936”， 设 定 字符 集 是 简体 中 文 。 





虚拟 机 (M) | 先 项 卡 (D 大 动 () ~ 加 局 五 避 
(电源 (p) * 
可 移动 设备 (D) * |¥| CD/DVD (DE) » 
暂停 (U) Ctr+Shift+P |v | 网 络 适配器 » 
发 闫 Ctrl+Alt+Del(E) th 
开 。。 抓 取 给 入 内 容 四 cul+6 | 图 下 
快照 IN) 连接 ( 疡 开 与 主机 的 连接 )(C) | Kingston pataTraveler20 
捕 殉 民间。 更 改 图 标 们 - Realtek USB2.0-CRW 
V| 在 状态 ‘ Realtek Laptop_Integrated_Webcam_HD » 
和 EM 一 -一 一 
更 新 VMware Tools(T).. 







设置 (S) 


图 1-49 设置 虚拟 机 连接 U 盘 或 者 移动 硬盘 


‘sdb: 15.5 GB, 15479597856 bytes, 38233588 sectors 
sectors of 1 * 512 = 512 byte 
(logical/physical): 512 bytes / S512 bytes 
(minimm/optimal): S12 bytes / 512 bytes 
Disk label type: dos 
Disk identif ier: 8x88888868 


ice Boot art End Block TS 
b1 闪 2848 3023257?5 15115264 c W95 F (LBA) 
[rootB@localhost ]# _ 





1-50 ”查看 连接 的 U 盘 信息 
例 3， 挂 载 U 盘 或 移动 硬盘 : 


#mkdir -p /mnt/usbl 

创建 挂 载 目 录 ，-p 参数 的 作用 是 ， 如 果 目 标 目录 的 上 级 目录 不 存在 ， 就 一 并 创建 
#mount -t vfat /dev/sdbl /mnt/usbl 

挂 载 0 盘 ,文件 系统 是 vfat (W95 FAT32)，/dev/sdbl 是 刚才 查 到 的 设备 名 
#1s /mnt/usbl 

查看 0 盘 上 的 信息 


4. 使 用 umount 印 载 设 备 
挂 载 的 设备 不 再 使 用 时 ， 可 以 把 它 卸 载 。 御 载 设备 使 用 的 命令 是 “umount 设备 名 | 挂 
载 位 置 ”。 对 先前 挂 载 的 U 盘 设 备 ， 可 执行 以 下 任意 一 个 命令 进行 卸载 。 

例如 ， 印 载 忆 挂 载 的 设备 ， 

#1s /mnt/usbl 
查看 已 挂 载 设备 上 的 信息 

#umount /dev/sdbl 
使 用 已 挂 载 设备 名 进行 卸载 

#umount /mnt/usbl 
使 用 已 挂 载 设备 的 挂 载 位 置 进行 卸载 ， 二 者 选 一 种 

#1s /mnt/usbl 
再 次 查看 挂 载 位 置 ， 应 该 是 空 目录 了 
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1.9.3 ”文件 类 型 


Linux pp tig he 目录 文件 、 链 接 文件 和 特殊 文件 4 种 ， 可 以 通过 
“ls -lJ”、“file”、“stat” 几 个 命令 来 查看 文件 的 类 型 等 相关 信息 。 

使 用 “ls -1” Se tte 信息 第 一 列 由 十 个 字符 构成 ， 第 一 个 字符 
表示 文件 类 型 ，“-” 表 示 普 通 文件 ，“d” 表 示 目 录 文 件 ，“1” 表 示 链 接 文件 ， 其 他 是 特 
殊 文 件 。 接 下 来 九 位 分 成 三 个 部 分 ， 每 部 分 3 位 ， 分 别 对 应 文件 的 “ 读 / 写 /执行 ”三 种 权 
限 ， 用 rwx 表示 ， 对 应 位 为 “-” 表 示 不 具备 对 应 权限 。 第 一 部 分 的 三 位 设置 的 是 文件 的 属 
主 对 文件 具有 的 权限 ， 第 二 部 分 的 三 位 设置 的 是 和 属 主 同 组 用 户 对 文件 具有 的 权限 ， 第 三 
部 分 的 三 位 设置 的 是 其 他 用 户 对 文件 具有 的 权限 。 

例 1， 查 看 anaconda-ks.cfg 文件 的 权限 信息 ， 如 图 1-51 所 示 。 


#1s -1 anaconda-ks.cfg 















































图 1-51 查看 文件 属性 


图 1-51 中 的 文件 属性 是 “-lrw-|---|---”， 第 一 位 “-” 表 示 文 件 是 普通 文件 ， 之 后 的 
“rw-” 表 示 文 件 属 主 具备 的 权限 是 读 和 写 ， 不 能 执行 ， 之 后 的 “---” 表 示 文 件 属 主 的 同 组 
用 户 对 文件 不 具备 读 、 写 和 执行 权限 ， 最 后 的 三 位 “---” 表 示 其 他 用 户 对 文件 不 具备 读 、 
写 和 执行 权限 。 第 二 列 是 文件 的 inode 节点 数 ， 表 示 此 文件 有 几 个 硬 连接 引用 ，“1” 表 示 
除了 自己 没有 别 的 引用 。 第 三 列 是 文件 属 主 的 用 户 名 root， 第 四 列 是 文件 属 主 所 属 的 组 名 
称 root， 第 五 列 是 文件 大 小 1431 字 节 ， 第 六 列 是 文件 时 间 Dec 28 19:58， 表 示 12 月 28 日 
19 点 58 分 ， 第 七 列 是 文件 名 称 anaconda-ks.cfg。 

Linux 中 的 文件 类 型 如 表 1-9 所 示 。 





























表 1-9 文件 的 类 型 
文件 类 型 文件 类 型 介绍 
-: 普通 文件 包括 纯 文 本 文件 和 二 进 制 文件 
d: 目录 文件 目录 ， 存 储 文件 的 容器 
1: 链接 文件 指向 同一 个 文件 或 目录 的 文件 
其 他 : 特殊 文件 块 设备 (b)、 字 符 设 备 (c)、 命 令 管 道 文件 (p)、socks 套 接 字 文 件 (s) 


Linux 中 不 同类 型 的 文件 默认 显示 颜色 不 同 : 普通 文件 显示 为 白色 ; 目录 文件 显示 为 
蓝 色 ; 可 执行 性 文件 显示 为 绿色 ; 包 文 件 显示 为 红色 ;链接 文件 显示 为 青 蓝 色 ， 设备 文件 








显示 为 黄色 。 
例 2， 查 看 不 同类 型 文件 的 颜色 显示 ， 如 图 1-52 所 示 。 
LS = 
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root root 


2 root root 
rootelocalhost ~]# 


1-52 ”文件 类 型 与 默认 颜色 (一 ) 








从 图 1-52 可 以 看 出 ，aks.cfg 属性 位 是 “1”， 是 链接 文件 ， 显 示 的 颜色 是 青 蓝 色 ; 
anaconda-ks.cfg 属性 位 是 “-”， 是 普通 文件 ， 显 示 的 颜色 是 白色 ; cmd 属性 位 是 “-”， 是 
普通 文件 ， 显 示 的 颜色 是 绿色 ,文件 权限 位 有 “x” 执 行 权限 ,说 明 是 可 执行 文件 ; 
lamp.zip 的 属性 位 也 是 “-”， 是 普通 文件 ， 显 示 的 颜色 是 红色 ， 是 包 文件 ，testdir 属性 位 
是 “d”， 是 目录 文件 ， 显 示 的 颜色 是 蓝 色 。 

设备 文件 存放 在 /dev 目录 下 ， 使 用 命令 查看 设备 文件 ， 如 图 1-53 所 示 。 

#1s -1 /dev/log /dev/tty0 /dev/sda 

#1ls -1 /run/dmeventd-server 
































[root@localhost ~]# ls -1 /dev log dev, ttu8 /dev/sde 
srw-rw-rw- 1 root root 8 Feb 3 88:16 


brw-rw---- 1 root disk 8, 8 Feb 3 89:19 /dev/sda 
rwW- -Ww 1 root tty 4, 8 Feb 3 88:16 /dev/tty@ 
[root@localhost ~]# _ 





图 1-53 文件 类 型 与 默认 颜色 (二 ) 


从 图 1-53 中 我 们 可 以 看 出 ， 属 性 位 s 是 套 接 字 设 备 文件 ， 显 示 为 粉色 ， 网 络 通 信使 
用 ; 属性 位 b 是 块 设备 文件 ， 显 示 为 亮 黄 色 ， 读 写 时 进行 块 传输 ， 速 度 快 ， 属 性 位 ce 是 字 
符 设备 文件 ， 显 示 也 是 亮 黄色 ， 读 写 时 传输 字符 ， 例 如 键盘 ， 是 低速 设备 。 属 性 位 p 是 管 
道 设备 文件 ， 显 示 为 暗 黄 色 ， 可 把 一 个 程序 的 输出 传递 给 另 一 个 程序 作为 输入 ， 如 图 1-54 
所 示 。 


[root@localhost ~]# ls 


1 root root 8 了 








图 1-54 文件 类 型 与 默认 颜色 (三 ) 


Linux 下 的 文件 类 型 识别 并 不 依靠 后 缀 名 称 来 判别 ， 通 过 “1]s -1” 我 们 可 以 得 到 文件 的 
一 些 信 息 ， 要 获取 进一步 信息 ， 可 以 执行 “file 文件 名 ” 
例 3， 查 看 文件 的 类 型 信息 ， 如 图 1-55 所 示 。 


#file anaconda-ks.cfg 


rootB@localhost file anaconda-ks .cfy 


cf 可 : PhSCII text 





图 1-55 使 用 file 查看 文件 类 型 信息 








图 1-55 表明 ，anaconda-ks.cfg 文件 是 由 ASCII 编码 字符 组 成 的 普通 文本 文件 。 
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要 获得 更 进一步 的 文件 信息 ， 可 执行 “stat 文件 名 ”命令 ， 来 获得 文件 的 详细 信息 。 
例如 ， 使 用 stat 命令 查看 文件 信息 ， 如 图 1-56 所 示 。 


#stat anaconda-ks.cfg 





regular file 


8. root) 





图 1-56 使 用 stat 命 令 查 看 文件 信息 
1.9.4 查看 帮助 和 文件 查找 


Linux 的 所 有 源 代 码 和 知识 都 是 开放 的 ， 海 量 的 知识 对 学 习 的 人 来 说 ， 是 幸福 也 是 若 
恼 。 在 先前 任务 的 学 习 中 ， 我 们 学 到 了 一 些 知识 ， 也 掌握 了 一 些 命令 的 用 法 。 除 了 这 些 命 
令 ， 还 有 很 多 的 命令 我 们 没有 学 到 ， 即 使 是 我 们 学 到 的 命令 ， 我 们 也 只 是 知道 了 大 概 的 功 
能 ， 有 具体 的 功能 选项 和 用 法 还 - 般 来 说 ， 学 习 每 个 命令 都 会 有 十 多 个 甚至 几 十 
个 参数 功能 需要 进一步 掌握 ， 要 记 住 这 么 多 内 容 ， 对 初学 者 来 说 ， 太 困难 了 。 

在 Linux 中 ， 提 供 了 丰富 的 文档 和 命令 ， 帮 助 我 们 学 习 和 使 用 。 获 得 命令 帮助 可 以 使 
用 “help 命令 名 ”或 者 “命令 名 --help” 来 获得 功能 和 用 法 信息 。 如 果 想 获取 更 详细 的 信 
息 ， 可 以 使 用 “man 命令 名 ”或 者 “info 命令 名 ”。 

使 用 man 命令 时 ， 内 容 常 常 较 多 ， 需 要 使 用 翻 页 键 进行 翻 页 。b 键 (back， 向 后 ) 可 以 
向 前 翻 页 ，f 键 (forward， 向 前 ) 可 以 向 后 翻 页 ， 空 格 键 也 可 以 向 后 翻 页 ，q 键 (quit， 退 出 ) 用 
于 退出 man 软件 。 

例 1， 查 看 帮助 的 方法 : 

#help cd 

#man 1s 


#info find 
#1s --help 














Linux 系统 中 存在 海量 的 文件 ， 虽 然 这 些 文件 按照 功能 存放 在 不 同 的 目录 ， 但 寻找 起 
来 仍 很 不 方便 ， 下 面 介绍 几 个 文件 查找 命令 。 
例 2， 使 用 which 查找 可 执行 命令 : 





#which 1s 
通过 命令 行 环境 变量 PATH 所 设置 的 路 径 ， 可 以 到 该 路 径 所 包含 的 目录 下 去 查找 可 执 
行文 件 。 


例 3， 使 用 whereis 查找 文件 。 


#whereis ls 
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该 命令 用 于 把 相关 字 的 文件 和 目录 都 列 出 来 。Linux 会 将 文件 都 记录 在 一 个 文件 数据 
库 里 面 ， 该 命令 是 从 数据 库 去 查询 ， 所 以 速度 比较 快 ，Linux 每 天 会 更 新 该 数据 库 。 

查找 文件 更 常用 的 命令 是 fmd， 功 能 更 为 强大 。 

find 命令 的 使 用 语法 是 : 

#find [path] [参数 ] [keyword] 

该 命令 用 于 在 指定 的 路 径 下 查找 文件 。 因 为 不 是 通过 数据 库 来 查询 ， 所 以 速度 会 比较 
慢 的 。 

例 4， 从 “/” 开 始 搜索 文件 flel1， 即 搜索 整个 文件 系统 中 的 filel 文件 : 

#find / -name filel 

例 5， 搜 索 属于 用 户 userl 的 文件 和 目录 : 

#find / -user userl 

例 6， 在 目录 /home/userl 中 搜索 带 有 “.bin” 结 尾 的 文件 ， 其 中 的 * 表 示 任 意 长 度 的 任 
意 字 符 : 








#find /home/userl -name *.bin 


1.10 ”文件 目录 管理 和 权限 管理 
1.10.1 常见 目录 功能 介绍 


系统 安装 完成 后 ， 各 种 类 型 的 文件 分 别 存 放 在 对 应 的 目录 下 。 在 不 同 的 Linux 发 行 版 
中 ， 目 录 结 构 基 本 是 一 致 或 者 类 似 的 。 了 解 各 目录 的 基本 功能 ， 是 了 解 学 习 系统 的 开始 。 
根 目录 (/) 是 整个 文件 系统 的 最 上 级 节点 ， 包 含 着 大 量 的 子 目录 ， 里 面 分 别 存放 表 1-10 所 示 
类 型 的 内 容 。 

表 1-10 Linux 目录 功能 的 定义 


功能 描述 
包含 所 有 的 命令 和 程序 库 、 文 档 和 其 他 文件 及 当前 Linux 发 行 版 的 主要 应 用 程序 
包含 正在 操作 的 文件 ， 还 有 记录 文件 、 加 密 文件 、 临 时 文件 等 
除了 root 用 户外 的 所 有 用 户 的 配置 文件 ， 个 性 化 文件 和 主 目录 ， 即 主 目录 
虚拟 目录 ， 该 目录 实际 上 指向 内 存 而 不 是 硬盘 
系统 执行 文件 (二 进 制 文件 ) 普 通用 户 可 以 使 用 
系统 执行 文件 (二 进 制 文件 ) 不 能 被 普通 用 户 使 用 ， 通 常 由 root 用 户 使 用 
操作 系统 的 配置 文件 
root 用 户 的 主 目录 
系统 设备 文件 ，Linux 的 所 有 设备 都 是 以 文件 的 形式 被 处 理 ， 该 目录 不 包含 驱动 程序 
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续 表 
目录 名 功能 描述 
/lib 库 文件 存放 目录 
/boot 系统 引导 、 启 动 文件 ， 通 常 grub( 启 动 管理 器 ) 也 在 这 里 
/opt 可 选 应 用 程序 目录 
/tmp 临时 文件 专门 存放 目录 ， 系 统 会 自动 清理 
/losttfound | 恢复 文件 (类 似 回收 站 ) 
/media 所 有 的 磁盘 (光盘 ) 将 以 目录 的 形式 挂 载 ， 光 盘 镜像 也 可 以 挂 载 
/cd-rom 挂 载 光盘 的 地 方 


/proc 目录 并 不 存放 在 磁盘 上 ， 而 是 保留 在 内 存 中 。 系 统 的 基本 运行 信息 存放 在 这 里 ， 
用 户 和 程序 可 以 通过 这 里 获得 运行 所 需 的 必要 信息 。 这 是 系统 运行 时 对 用 户 和 程序 的 接 
口 。 使 用 “cat file” 等 命令 ， 可 以 查看 相关 的 文件 内 容 ， 如 表 1-11 所 示 。 
表 1-11 proc 目录 下 文件 功能 的 定义 








文件 名 文件 功能 定义 
/proc/cpuinfo 处 理 器 的 信息 
/proc/devices 当前 运行 内 核 的 所 有 设备 清单 
/proc/dma 当前 正在 使 用 中 的 DMA 通道 
/proc/filesystem 当前 运行 内 核 所 配置 的 文件 系统 
/proc/interrupts 当前 使 用 的 中 断 和 曾经 有 多 少 个 中 断 
/proc/ioports 正在 使 用 的 IO 端口 


#cat /proc/cpuinfo 

#cat /proc/devices 

#cat /proc/dma 

#cat /proc/filesystem 

#cat /proc/interrupts 

#cat /proc/ioports 

查看 文件 的 命令 很 多 ， 各 有 自己 的 功能 特色 。“cat file” 可 以 查看 文件 的 内 容 ， 将 文 
件 内 容 从 第 一 行 到 最 后 一 行 连续 输出 到 屏幕 上 。“tac file” 的 功能 和 “cat” 命 令 相 反 ， 是 
从 最 后 一 行 到 第 一 行 的 方式 查看 。 
当 文 件 比较 大 的 时 候 ， 系 统 自 动 翻 屏 显示 ， 这 样 文件 前 面 的 内 容 就 没 办 法 看 清楚 ， 这 
个 时 候 可 以 用 more 或 者 less 命令 。“more file” 可 以 在 显示 满 一 页 后 自动 停止 ， 按 任意 键 
继续 显示 下 一 屏 ， 直 到 显示 完成 ， 如 果 看 到 一 半 想 退出 ， 则 痪 入 q 即 可 退出 。more 命令 只 
能 向 后 翻 页 显示 ，“less file” 则 向 前 向 后 都 可 以 翻 页 。 

如 果 只 想 读 取 文 件 的 头 几 行 或 者 文件 的 末尾 几 行 ， 可 以 用 “head -n file”( 读 取 文件 的 
前 n 行 ) 或 “#tail -n file”( 读 取 文 件 末尾 n 行 )。 

wc 命令 可 以 统计 指定 文件 的 行 数 、 单 词 数 和 字符 数 : 
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#cat /proc/cpuinfo 
#tac /proc/cpuinfo 
#more /etc/passwd 
#1less /etc/passwd 
#head -1 /etc/passwd 
#tail -2 /etc/passwd 
#wc -1 /etc/passwd 


1.10.2 ”目录 和 文件 操作 


文件 系统 是 树 形 结构 ， 最 上 层 是 根 目录 “/”， 下 方 是 各 个 子 目录 和 文件 ， 每 个 子 目 录 
下 方 又 包含 着 子 目 录 和 文件 ， 形 成 树 形 层次 型 的 存储 结构 。 对 文件 和 目录 的 操作 是 必 备 的 
基础 能 力 ， 文 件 目录 基本 操作 命令 如 表 1-12 所 示 。 


DIV 


表 1-12 文件 目录 基本 操作 命令 


功能 描述 
改变 工作 目录 (~: 当前 用 户主 目录 ; -: 上 一 次 的 目录 ) 
显示 当前 工作 目录 
建立 新 目录 
删除 空 目 录 
显示 指定 目录 下 的 文件 和 子 目 录 (-1 长 列表 显示 ，-a 显示 所 有 文件 ) 
复制 指定 源 文件 或 者 目录 到 指定 位 置 (-r 拷贝 目录 ) 
删除 文件 或 者 目录 (-r 删除 目录 ) 
移动 文件 或 者 目录 





cd(change directory， 改 变 目 录 ) 命 令 用 来 切换 到 指定 工作 目录 ; pwd(print working 
directory， 显 示 工 作 目 录 ) 可 以 显示 当前 所 在 位 置 ， 即 工作 目录 ; 1s(list) 命 令 显示 指定 目录 
下 的 文件 和 子 目 录 列 表 。 

例 1， 执 行 下 列 命 令 ， 查 看 命令 效果 : 


#cad / 
#pwd 
#1s 





#cd /root 


#pwd 
#1s 


每 个 用 户 都 有 自己 的 主 目录 ， 也 叫 “ 家 ”目录 。 超 级 用 户 root 的 主 目录 是 “/root”， 
普通 用 户 的 家 目录 是 “/home/ 用 户 名 ”。 无 论 在 文件 系统 的 哪个 位 置 ， 都 可 以 通过 “cd” 


或 者 “cd ~” 
含义 的 目录 ， 











回 到 主 目录 。 在 两 个 目录 间 快 速 切换 可 以 使 用 “cd -”， 另 外 ， 还 有 两 个 特殊 
“.” 表 示 当 前 所 在 的 目录 ，“..” 表 示 当 前 目录 的 上 一 级 目录 。 


例 2， 学 习 cd 命令 的 多 种 用 法 : 


(so). 
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#cd 
#pwd 
#cd / 
#pwd 
#cd = 
#pwd 
es 
#pwd 


“mkdir 目录 名 ”(make directory， 创 建 目录 ) 命 令 用 来 创建 新 目录 ; “rmdir 目录 名 ” 
(remove directory， 删 除 目录 ) 可 以 删除 空 目录 ; 如 果 待 删 除 目 录 下 有 文件 或 者 子 目 录 ， 可 
先 删 空 后 再 使 用 rmdir 命令 ,或 者 直接 使 用 “rm -r 目录 名 ”进行 删除 。 

例 3， 目 录 操 作 : 

#cd /root 

#mkdir testl 

#mkdir test2 test3 

#15s 

#rmdir test2 

#1s 

“cp 源 文件 目标 ”(copy， 复 制 ) 把 源 文 件 的 副本 复制 到 目标 所 指定 的 位 置 ， 如 果 目 
标 是 目录 ， 就 存放 在 目录 下 ， 文 件 名 不 变 ， 如 果 目 标 路 径 包含 文件 名 ， 则 还 需要 把 文件 名 
修改 为 指定 的 文件 名 。“-r” 参 数 可 以 对 目录 进行 复制 。 

“mv 源 文件 目标 ”(move， 移 动 ) 把 源 文件 移动 到 目标 位 置 ， 如 果 目 标 路 径 包 含 文件 
名 ， 则 需要 把 文件 名 修改 为 指定 文件 名 。“-r” 参 数 可 以 对 目录 进行 移动 。 文 件 移 走 后 ， 
源 文件 就 不 存在 了 。 

“rm 文件 名 ”可 以 删除 指定 文件 ， “mm -r 目录 名 ”可 以 删除 指定 目录 。 

当 文 件 复制 时 ， 或 者 文件 移动 时 ， 目 标 位 置 如 果 有 同名 文件 ， 则 会 被 覆盖 ， 使 用 删除 
命令 删除 文件 时 如 果 不 小 心 ， 可 能 会 误 删 文件 。 

所 以 ， 当 执行 这 三 个 命令 时 ， 可 以 再 增加 “-i” 参 数 ， 这 样 ， 在 发 生 覆 盖 或 者 删除 
会 提示 用 户 确认 ， 保 证 文件 安全 。 
例 4， 文 件 操作 : 

#cd /root 

#mkdir testl 

#cd /root/testl 

#touch testfilel testfile2 
#1s 

#cp testfilel /root 

#1s /root 

#mv testfile2 /root/tfile2 


#1s /root 
#1s /root/testl 


时 
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1.10.3 ”文件 目录 与 权限 


Linux 是 多 用 户 操作 系统 ， 每 个 用 户 都 有 自己 的 主 目录 。zroot 用 户 的 主 目录 在 
“root”， 而 其 他 用 户 的 主 目录 在 “mhome/ 用 户 名 ”。 在 各 自 的 主 目 录 中 ， 有 具备 完全 权 
限 。 其 他 用 户 的 文件 ， 默 认 不 能 够 访问 。 如 果 用 户 需 要 让 其 他 用 户 访问 自己 的 文件 ， 需 要 
对 文件 目录 进行 合理 的 授权 。 如 果 授 权 不 当 ， 可 能 会 导致 安全 问题 。 文 件 权 限 设置 的 命令 
如 表 1-13 所 示 。 





































































































表 1-13 文件 权限 设置 的 相关 命令 














命令 功能 描述 
ls-l 使 用 长 列表 方式 显示 目录 下 的 文件 和 子 目 录 
touch 创建 新 文件 ， 更 新 文件 状态 属性 
chmod 改变 文件 或 目录 权限 属性 
chown 改变 文件 或 目录 属 主 ( 所 属 用 户 ) 
ch 改变 文件 或 目录 所 属 工作 组 
umask 设 定 文件 掩 码 ， 影 响 创建 的 新 文件 权限 属性 


1. 查看 文件 权限 

在 Linux 下 ， 查 看 文件 目录 的 权限 可 以 使 用 命令 “ls -1”，“-1” 表 示 使 用 长 列表 方式 
显示 内 容 ， 此 时 ， 文 件 信息 的 第 一 列 就 是 权限 属性 。“touch 文件 名 ”表示 当 文 件 不 存在 
时 创建 新 文件 ， 文 件 已 存在 时 更 新 文件 状态 ， 如 图 1-57 所 示 。 


#touch filel 
#1s -1 filel 


]# touch filel 


]# 1 1 filel 
root root 8 Feb 3 18:42 filel 


图 1-57 新 建文 件 或 者 更 新 文件 状态 





图 1-57 中 可 以 看 出 ， 文 件 目录 的 权限 属性 可 以 通过 三 种 角色 分 类 设 定 来 实现 。 
对 文件 目录 属 主 自己 (useD 的 访问 控制 。 
对 属 主 同 组 用 户 (group) 的 访问 控制 。 
对 其 他 用 户 (others) 的 访问 控制 。 
具体 的 权限 设 定 包括 r(read) 读 、w(write) 写 、x(execute) 执 行 三 种 。 
Linux 系统 中 的 每 个 文件 和 目录 都 有 属 主 和 对 应 的 访问 权限 设 定 ， 用 它 来 确定 谁 可 以 
通过 何 种 方式 对 文件 和 目录 进行 访问 和 操作 。 
以 文件 为 例 ， 读 权限 表示 允许 读 其 内 容 ， 写 权限 表示 允许 对 其 做 更 改 操作 ， 可 执行 权 
限 表 示人 允许 将 该 文件 作为 一 个 程序 执行 。 文 件 被 创建 时 ， 文 件 所 有 者 自动 拥有 对 该 文件 的 
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读 、 写 和 可 执行 权限 ， 用 户 也 可 根据 需要 把 访问 权限 设置 为 需要 的 任何 组 合 。 
三 种 不 同类 型 的 用 户 对 文件 或 目录 进行 访问 : 文件 所 有 者 、 同 组 用 户 、 其 他 用 户 。 相 
应 地 ， 每 一 文件 或 目录 的 访问 权限 都 有 三 组 ， 每 组 用 三 位 表示 ， 分 别 为 : 
文件 属 主 的 读 、 写 和 执行 权限 。 
与 属 主 同 组 的 用 户 的 读 、 写 和 执行 权限 。 
系统 中 其 他 用 户 的 读 、 写 和 执行 权限 。 
“ls -1” 命 令 显示 文件 或 目录 的 详细 信息 时 ， 最 左边 的 一 列 为 文件 的 访问 权限 ， 
如 图 1-58 所 示 。 
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]# touch filel 


]# 1 1 filel 
oot root 8 Feb 3 18:42 filel 


图 1-58 查看 文件 权限 设置 


横 线 代表 不 具备 相应 权限 ，r 代表 读 权 限 ，w 代表 写 权限 ，x 代表 执行 权限 。 

图 例 上 “- rw-r--r--” 权 限 的 属性 中 : 

@ “-” 是 文件 的 类 别 属性 ， 表 示 是 一 个 普通 文件 ， 如 果 是 “r”， 表 示 是 目录 。 

@ 接 下 来 前 三 位 是 属 主权 限 设 置 ，“rw-” 表 示 属 主 有 读 写 权 限 ， 无 执行 权限 。 

@ 中 间 三 位 是 同 组 人 员 权 限 ，“r-” 表 示 只 有 读 权限 。 

@ 最 后 三 位 是 其 他 用 户 的 权限 ，“r--” 表 示 其 他 用 户 也 只 有 读 权限 。 

2. 修改 文件 权限 

chmod 命令 用 于 改变 文件 或 目录 的 访问 权限 。 当 需要 更 改 权限 设 定时 ， 用 户 可 以 利用 
Linux 系统 提供 的 chmod 命令 来 重新 设 定 ; 也 可 以 利用 chown 命令 来 更 改 某 个 文件 或 目录 
的 属 主 ， 之 后 属 主 可 以 自行 设置 权限 ; 也 利用 chgrp 命令 来 更 改 某 个 文件 或 目录 的 用 户 组 
来 获得 组 的 授权 。 

chmod 命令 有 两 种 用 法 : 

@ 包含 字母 和 操作 符 表 达 式 的 文字 设 定 法 。 

@ 包含 数字 的 数字 设 定 法 。 

(1) 文字 设 定 法 : 

#chmod [用 户 类 别 ugoa] [+ | - | =] [权限 rwx 等 ] 文件 名 


用 户 类 别 可 是 表 1-14 中 字母 的 任 一 个 或 者 它们 的 组 合 。 
表 1-14 四 种 用 户 类 别 























类 别 功能 描述 
u 表示 “用 户 (user)”， 即 文件 或 目录 的 所 有 者 
g 表示 “ 同 组 (group) 用 户 ”， 即 与 文件 属 主 有 相同 组 ID 的 所 有 用 户 
0 表示 “其 他 (others) 用 户 ” 
a 表示 “所 有 (alD) 用 户 ”。 它 是 系统 默认 值 
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操作 符号 表示 对 权限 进行 的 操作 ， 具 体 说 明 如 表 1-15 所 示 。 
表 1-15 权限 操作 符 





添加 某 个 权限 


取消 某 个 权限 





赋予 给 定 权限 并 取消 其 他 所 有 权限 (如 果 有 的 话 ) 
设置 mode 所 表示 的 权限 可 用 权限 字母 的 任意 组 合 ， 最 常用 的 权限 字母 就 是 “rwx” 








在 一 个 命令 行 中 可 给 出 多 个 权限 方式 ， 其 间 用 逗号 隔 开 。 例 如 “chmod g+ro+r example” 








可 使 同 组 和 其 他 用 户 对 文件 example 具有 读 权 限 。 
(2) 数字 设 定 法 。 
使 用 文字 设 定 法 ， 含 义 清晰 直观 ， 书 写 稍 复 杂 ，chmod 命令 还 支持 另 一 种 “数字 设 定 





法 ”。 在 每 三 位 一 组 的 权限 设 定 中 : “-” 没 有 权限 用 0 表示 ，“r” 读 权限 用 4 表示 ， 
“w” 写 权限 用 2 表示 ，“x” 执 行 权限 用 1 表示 ， 然 后 将 其 相 加 。 例 如 “rw-r--r--” 对 应 的 
等 价 数字 权限 就 是 “644”。 使 用 “chmod [数字 权限 ] 文件 名 ”也 可 以 进行 权限 设 定 。 
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例 1， 文 件 权限 操作 : 


$chmod a+x sort 


此 命令 设 定 文件 sort 的 属性 为 (a ALL; x: 执行 权限 )。 
@ ”文件 属 主 (u): 增加 执行 权限 。 

@ 与 文件 属 主 同 组 用 户 (g): 增加 执行 权限 。 

@ 其 他 用 户 (o): 增加 执行 权限 。 

例 2， 多 权限 修改 操作 : 


$chmod ug+w,o-x text 


即 设 定 文件 text 的 属性 。 

@ 文件 属 主 (o): 增加 写 权 限 。 

@ 与 文件 属 主 同 组 用 户 (g): 增加 写 权 限 。 

@ ”其 他 用 户 (0): 删除 执行 权限 。 

例 3， 用 户 类 别 的 多 种 表示 方法 : 

$ chmod a-x mm.txt 

$ chmod -x mm.txt 

$ chmod ugo-x mm.txt 

以 上 这 三 个 命令 都 是 将 文件 mm.txt 的 执行 权限 删除 ， 它 设 定 的 对 象 为 所 有 使 用 者 。 
例 4， 数 字 设 定 法 权限 操作 : 


$ chmod 644 mm.txt 
全 二 
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设 定 文件 mm.txt 的 属性 为 “-rw-r--r--”。 

@ ”文件 属 主 (u): root 拥有 读 、 写 权限 (rw-: 4+2+0=6)。 

@ 与 文件 属 主 同 组 人 用 户 (g8): 拥有 读 权限 (r--: 4+0+0=4)。 

@ 其 他 人 (o): 拥有 读 权限 (r--: 4+0+0=4)。 

3. 改变 所 属 组 

chgrp 命令 功能 是 改变 文件 或 目录 所 属 的 组 。 

语法 : 

chgrp [选项 ] group filename 

命令 中 group 可 以 是 用 户 组 ID， 用 户 组 的 组 名 ， 文 件 名 是 以 空格 分 开 的 要 改变 属 组 的 
文件 列表 ， 支 持 通配符 。 

如 果 用 户 不 是 该 文件 的 属 主 或 超级 用 户 ， 则 不 能 改变 该 文件 的 组 。 

常用 选项 “-R” 表 示 递 归 式 地 改变 指定 目录 及 其 下 的 所 有 子 目录 和 文件 的 属 组 。 

例如 ， 改 变 /opt/local /book/ 及 其 子 目录 下 的 所 有 文件 的 属 组 为 book: 

$ chgrp -R book /opt/local /book 








4. 改变 文件 属 主 和 属 组 

chown 命令 功能 是 更 改 某 个 文件 或 目录 的 属 主 和 属 组 。 例 如 root 用 户 把 自己 的 一 个 文 
件 拷贝 给 用 户 ， 为 了 让 用 户 能 够 存 取 这 个 文件 ，root 用 户 应 该 把 这 个 文件 的 属 主 设 为 该 用 
户 ， 否 则 ， 用 户 将 没有 权限 对 文件 实施 各 种 操作 。 

语法 : 

chown [选项 ] 用 户 或 组 文件 

常用 选项 “-R” 表 示 递 归 式 地 改变 指定 目录 及 其 下 面 的 所 有 子 目录 ， 以 及 文件 的 属 主 
和 属 组 。 

例 1， 把 文件 shiyan.c 的 所 有 者 改 为 wang: 


$chown wang shiyan.c 


例 2， 把 目录 /his 及 其 下 的 所 有 文件 和 子 目录 的 属 主 改 成 wang， 属 组 改 成 users: 


$chown -R wang.users /his 


5. 设置 文件 掩 码 

umask 命令 功能 是 设置 文件 掩 码 。 

在 Linux 下 ， 创 建文 件 的 默认 权限 是 “666”， 创 建 目 录 的 权限 是 “777”， 如 果 我 们 
使 用 “umask 022” 设 置 文件 权限 掩 码 ， 则 当 创 建新 文件 时 ， 初 始 权 限 将 是 644(6-0，6-2， 
6-2)， 即 属 主 具 有 读 、 写 权限 (rw-)， 同 组 用 户 和 其 他 用 户 只 具有 读 权限 (r--); 如 果 是 创建 目 
录 ， 那 么 ， 目 录 初 始 权限 将 是 755(7-0，7-2，7-2)， 即 属 主 具有 读 、 写 、 执 行 权 限 (rwx， 
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7)， 同 组 用 户 和 其 他 用 户 具 有 读 、 执 行 权限 (r-x，5)。 
可 以 看 出 ，umask 的 功能 就 是 当 新 建文 件 时 ， 取 消 文 件 的 指定 权限 。 上 面 的 例子 中 ， 
新 建 用 户 的 同 组 用 户 写 权限 (w=2) 和 其 他 用 户 的 写 权 限 (w=2) 就 被 默认 取消 掉 了 。 

例如 : 

#umask 022 

#touch filel 

#umask 222 

#touch file2 

#1s -1 file* 

关于 文件 和 目录 权限 ， 有 几 点 要 注意 的 地 方 。 

(1) 对 于 文件 和 文件 夹 来 说 ， 权 限 的 具体 含义 不 同 。 比 如 读 权 限 r: 对 于 文件 ， 是 读 
取 文 件 内 容 ， 对 于 目录 ， 是 查看 目录 下 的 文件 等 。 

(2) 并 不 是 给 文件 执行 权限 文件 就 能 够 执行 了 ， 正 确 的 理解 是 ， 即 使 文件 本 身 就 是 可 
执行 的 文件 ， 没 有 执行 权限 也 不 能 执行 ， 赋 予 执 行 权 限 后 ， 文 件 才能 执行 。 

(3) 除了 rwx 权限 外 ， 还 有 个 特殊 的 权限 s， 可 以 让 某 些 命令 在 执行 时 临时 获取 更 高 
的 权限 来 完成 功能 。 当 用 户 使 用 “ls -1” 命 令 查看 某 些 文件 时 (例如 passwd 命令 )， 如 果 看 
到 rws 这 样 的 权限 ， 就 不 会 奇怪 了 。 


1.10.4 ”使 用 软 连接 和 硬 连接 





硬 连接 是 给 文件 创建 一 个 副本 ， 同 时 建立 两 者 之 间 的 连接 关系 。 修 改 其 中 一 个 ， 与 其 
连接 的 文件 同时 被 修改 。 为 文件 每 增加 一 个 硬 连接 ， 使 用 “ls -1 文件 名 ”查看 文件 时 ， 可 
以 发 现 文件 连接 数 会 加 1。 当 删除 硬 连 接 文件 时 ， 文 件 连接 数 减 1， 当 减 为 零 时 ， 文 件 从 
磁盘 上 被 删除 。 

软 连接 也 叫 符号 连接 ， 他 只 是 对 源 文件 在 新 的 位 置 建立 一 个 “快捷 方式 ”， 删 除 这 个 
连接 ， 不 会 影响 到 源 文件 ， 而 当 源 文件 删除 时 ， 符 号 连接 因为 指向 的 文件 已 不 存在 ， 会 失 
去 效果 。 对 连接 文件 的 使 用 、 引 用 都 会 直接 调用 源 文件 。 

创建 连接 使 用 命令 m， 常 用 参数 如 表 1-16 所 示 。 

表 1-16 In 命令 的 常用 参数 























选 项 功能 描述 
b 删除 ， 窗 六 以 前 建立 的 链接 
-d 允许 超级 用 户 制作 目录 的 硬 连 接 
工 强制 执行 
i 交互 模式 ， 文 件 存在 则 提示 用 户 是 否 覆 盖 
1 把 符号 连接 视 为 一 般 目 录 
-5 软 连接 (符号 连接 ) 
-Vv 显示 详细 的 处 理 过 程 
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例 1， 为 /root 目录 下 的 文件 anaconda-ks.cfg 创建 软 连接 aks.cfg， 如 图 1-59 所 示 。 


#1s -1 
#1ln -s anaconda-ks.cfg aks.cfg 
#1s -1 


[root@localhost ~]# ls 
total 4 

rw 入 t root 
[rootB@1localhc ]# lm 


[root@1localhc “]# ls 


total 4 
lrupaupaux 1 root root 15 Jan 26 11:49 aks.cfg -> anaconda-ks.cfg 
rw 1 root root 1431 Dec 28 19:58 anaconda-ks.cfg 
[Ea ]# 





图 1-59 创建 软 连接 
从 图 1-59 中 可 以 看 到 ， 符 号 连接 aks.cfg 创建 成 功 ， 连 接 文件 类 型 为 “1”， 颜 色 显 示 
为 亮 蓝 色 ， 连 接 指向 文件 anaconda-ks.cfg。 
例 2， 为 /root 目录 下 的 文件 anaconda-ks.cfg 创建 硬 连 接 aks2.cfg， 如 图 1-60 所 示 。 


大 
#1ln anaconda-ks.cfg aks2.cfg 
#19 =1 


root@localhost ]# ls -1 

total 4 mA 

lnwoawoauocf 1 Feet root 15 Jan 26 11:49 aks.cfg -> anaconda-ks.cfg 
rw \ 1 hoot root 1431 Dec 28 19:58 anaconda-ks.cfg 
[root@localfigst ~]# ln anaconda-ks.cfg 

[root@localhost ~]# 1s -1 


total 8 


Tu oot root 1431 Derc 4 
leuparuparurx an 26 11: Es anaconda-ks .cfg 
rw ro0t 14 sc 28 19:58 anaconda-ks.cfg 





图 1-60 创建 硬 连 接 


从 图 可 以 看 出 ， 文 件 anaconda-ks.cfg 初始 连接 数 为 1， 当 使 用 jn 建立 硬 连接 后 ， 原 文 
件 和 硬 连接 文件 aks2.cfg 的 连接 数 都 变 为 2， 而 软 连 接 aks.cfg 的 连接 数 并 不 改变 。2 是 文 
件 的 节点 数 ， 当 删除 文件 时 ， 每 删除 一 个 ， 节 点 数 减 1， 当 节点 数 减 到 0 时 ， 文 件 才 真 正 
从 磁盘 上 删除 。 

另外 ， 硬 连接 无 论文 件 内 容 还 是 属性 都 是 一 体 ， 软 连接 的 权限 默认 都 是 777 完全 权 
限 ， 当 操作 文件 时 ， 起 作用 的 还 是 真实 文件 的 权限 。 


任务 四 : 系统 基本 配置 管理 


本 任务 要 关注 两 个 问题 : CentOS 7 的 用 户 管理 和 CentOS 7 的 网 络 管理 。 有 具体 要 求 了 
解 用 户 管理 的 机 制 和 常用 管理 命令 ， 了 解 网 络 管理 的 基础 知识 并 掌握 网 络 管理 命令 。 
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知识 储备 
1.11 用 户 账号 管理 


1.11.1 了 解 用 户 管理 


Linux 是 多 用 户 操作 系统 ， 为 每 个 用 户 创 建 自己 的 账号 ， 是 用 户 使 用 系统 的 前 提 ， 也 
是 系统 对 用 户 进行 管理 的 必需 。 对 用 户 进行 管理 是 系统 的 基础 功能 。 

添加 新 用 户 时 ， 实 际 上 是 修改 了 /etc/passwd、/etc/shadow 文件 ， 在 /home 下 为 用 户 创 
建 主 目录 ， 并 将 /etc/skel( 通 用 用 户 模板 ) 目 录 内 容 复制 过 来 。 

#1s -1 /etc/passwd /etc/shadow 


#cat /etc/passwd 
#cat /etc/shadow 


1. 账号 信息 配置 文件 : /etc/passwd 

Linux 使 用 /etc/passwd 文件 记录 用 户 账号 信息 ， 每 个 用 户 记录 一 行 ， 每 行 由 7 个 域 组 
成 ， 之 间 由 冒号 分 隔 。passwd 文件 的 属 主 是 root， 默 认 权 限 设 定 是 644， 即 root 有 读 写 权 
限 ， 其 他 用 户 只 有 读 权 限 。 因 为 普通 用 户 可 以 读 此 文件 ， 为 了 防止 用 户 账号 的 密码 被 强制 
破解 ， 所 以 密码 字段 的 内 容 统一 设置 为 “x”， 真 实 密码 信息 都 加 密 后 保存 在 另 一 个 账号 
文件 /etc/shadow 中 ， 并 严格 控制 用 户 访问 。 

例如 ， 查 看 /etc/passwd 文件 第 一 行 的 内 容 ， 如 图 1-61 所 示 。 


#head -1 /etc/passwd 
#1s -1 /etc/passwd 


rootBliuxuegong ~]# head -1 /etc/pa 
root :x:0:0:root :/root bin/ba 


[rootB@liuxuegong ~]# 1 


rw-r--r 1 root roo 





1-61 passwd 文件 格式 和 属性 
passwd 文件 用 户 账 号 字段 如 表 1-17 所 示 。 


表 1-17 passwd 文件 用 户 账 号 字段 
Toot /bin/bash 


XxX 0 0 root 
用 户 名 密码 UD GID 用 户 注 释 登录 Shell 


UID 是 用 户 标识 ， 从 0 开始 编号 ，root 账号 的 UID 就 是 0。 在 CentOS 7 系统 下 ， 创 建 
普通 用 户 账号 时 ，UID 一 般 从 编号 1000 开始 ， 即 第 一 个 创建 的 普通 用 户 UID 是 1000， 第 
二 个 用 户 UID 是 1001， 以 此 类 推 。 

GID 是 用 户 所 属 组 的 标识 ， 通 常 创建 账号 时 默认 会 创建 与 UID 相同 编号 的 组 。 
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用 户 名 应 该 唯一 ， 如 不 唯一 ， 则 系统 只 认 前 面 的 一 个 ;UID 则 不 必 唯 一 。 相 同 的 UD 
具有 完全 相同 的 权限 。 创 建 用 户 时 ，UID 等 于 0 即 拥有 root 权限 。 

使 用 命令 “ls -1” 来 查看 passwd 文件 的 属性 信息 ， 可 以 看 到 ， 除 了 属 主 root 用 户 拥 有 
读 写 权 限 ， 其 他 用 户 都 只 拥有 读 权 限 。 

2. 账号 密码 信息 文件 : /etc/shadow 

/etc/shadow 文件 主要 用 于 记录 加 密 后 的 密码 ， 并 包含 密码 相关 的 安全 策略 设置 。 文 件 
属 主 是 root 用 户 ， 默 认 访问 权限 是 400， 即 root 用 户 具 有 读 权 限 ， 其 他 用 户 无 权限 。 

使 用 “head -1 /etc/shadow” 来 查看 文件 第 一 行 的 记录 信息 ， 可 以 看 到 ， 每 行 格式 都 是 
用 “:” 分 隔 开 的 9 个 字段 ， 依 序 是 “usemame: password: last:may: must: warn: expire: 
































disable: reserved”。 
例如 ， 查 看 /etc/shadow 文件 的 第 一 行内 容 ， 如 图 1-62 所 示 。 
#head -1 /etc/shadow 
#1s -1 /etc/shadow 


[rootB@liuxuegong ~ ]# head -1 /etc/shadow 
$65 0Dd9PCIZ3 .vS jYYmYy10r .SeN8BWjeUtt6z5pBJ: 


Bliuxuegong etc/shadow 
1 root root 911 Feb 3 11:22 et hadow 





1-62 shadow 文件 格式 和 属性 
shadow 文件 账号 字段 及 相应 功能 的 描述 如 表 1-18 所 示 。 
表 1-18 shadow 文件 账号 字段 




















序 号 字段 定义 功能 描述 

1 username 用 户 名 

2 | password 加 密 后 的 密码 

3 lastdate 上 次 更 改 密码 日 期 ， 从 _1970-1-1 起 计算 的 天 数 

4 maydate 从 maydate 开始 ， 用 户 才 可 以 更 改 密码 

5 mustdate 到 mustdate 如 果 还 没有 修改 密码 ， 就 强制 要 求 修改 
6 wamdate 在 mustdate 前 多 少 天 提示 用 户 更 改 密码 

expiredate 在 mustdate 后 多 少 天 使 用 户 账号 失效 

8 disable 用 来 记录 账号 失效 的 天 数 

全 Teserved 保留 未 使 用 








/etc/shadow 文件 和 /etc/passwd 文件 一 样 ， 每 个 账号 信息 占据 一 行 。 

在 shadow 文件 中 ， 最 重要 的 就 是 密码 信息 ， 从 图 1-62 中 可 以 看 到 ， 存 储 的 是 加 密 后 
的 密码 ， 即 使 被 意外 看 到 ， 也 猜 不 出 原始 密码 信息 。 为 了 防止 密码 被 穷 举 破解 ，shadow 文 
件 的 权限 设置 很 严格 ， 从 图 1-62 中 可 以 看 到 ， 任 何人 都 没有 读 写 权限 。 这 样 ， 除 了 超级 用 
户 root， 任 何 账号 都 无 法 查看 和 更 改 文 件 信息 。 
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3. 组 账号 配置 文件 : /etc/group 和 /etc/gshadow 


在 创建 用 户 的 同时 ， 也 创建 了 一 个 同名 组 ， 新 用 户 默 认 属于 自己 的 组 ， 这 个 组 称 为 用 
户 私有 组 ， 可 以 把 其 他 用 户 加 入 这 个 私有 组 并 享受 该 组 成 员 的 权利 。/etc/passwd 文件 中 的 
GID 表示 的 就 是 用 户 的 默认 组 。 

关于 组 的 操作 ， 实 际 上 是 在 修改 /etc/group 文件 。/etc/group 文件 记录 组 信息 ， 每 行 记 
录 一 个 组 的 信息 ， 格 式 是 “组 名 :密码 :GID: 成 员 列表 (成 员 之 间 用 去 号 隔 开 )”。 若 需 组 密 
人 码 ， 可 执行 命令 gpasswd， 组 密码 存 于 /etc/gshadow。 


#cat /etc/group 
#cat /etc/gshadow 












































1.11.2 用户 账号 的 基本 操作 


在 Linux 操作 系统 中 ，root 账号 是 唯一 的 超级 账号 ， 有 具备 系统 最 高 权限 ， 要 进行 服务 
器 管理 ， 通 常 是 在 root 账号 下 完成 。 为 了 防止 在 使 用 root 账号 时 不 小 心 破坏 系统 ， 通 常 建 
议 在 管理 员 不 进行 管理 操作 时 ， 使 用 普通 用 户 账号 来 进行 操作 。 也 就 是 说 ， 对 于 管理 员 来 
说 ， 大 多 数 时 间 也 是 在 使 用 普通 用 户 账号 的 。 

1. 使 用 useradd/passwd 来 创建 用 户 账号 并 设置 密码 

创建 新 用 户 账号 使 用 命令 “useradd 用 户 名 ”， 为 用 户 设 置 登 录 密 码 或 者 修改 登录 密 
码 使 用 “passwd 用 户 名 ”命令 ， 新 用 户 只 有 被 赋予 密码 后 才能 使 用 。 

例 1， 创 建新 用 户 newuser1， 如 图 1-63 所 示 。 


#useradd newuserl 
#passwd newuserl 
#tail -1 /etc/passwd 
#tail -1 /etc/shadow 








[rootB@liuxuegong ~]# useradd newuser1 
[root@liwaegong ~]# passwd newuser1 
hanging passuord for user newuserl. 
, 


ssword is shorter than ? characters 


ication toker Sa sfully 
]# tail -1 » 
:/home 
“]# tail -1 


n/vdERdoTYbLKfA4rHz 





1-63 ”创建 新 用 户 


创建 完成 新 账号 后 ， 可 以 查看 passwd 和 shadow 文件 了 解 账号 的 信息 。 命 令 “tail -1” 
的 作用 是 查看 文件 的 最 后 一 行内 容 。 用 户 创 建 后 ， 必 须 使 用 passwd 命令 设置 密码 才 可 以 
正常 登录 使 用 ， 如 果 密 码 设置 过 于 简单 ， 系 统 会 提示 信息 ， 但 仍然 可 以 设置 使 用 简单 密 
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码 ， 再 次 输入 确认 即 可 。 普 通用 户 的 家 目录 默认 为 home/ 用 户 名 ， 这 也 是 普通 用 户 和 root 
超级 用 户 间 的 又 一 点 不 同 ，root 的 家 目录 是 /root。 
设置 好 密码 后 ， 执 行 exit 命令 退出 当前 用 户 登录 ， 然 后 就 可 以 使 用 新 注册 账号 来 验证 
登录 。 如 图 1-64 所 示 。 
于 注意 : 普通 用 户 登录 后 ， 提 示 符 是 “$”; 如 果 是 root 账号 登录 的 话 ， 提 示 符 是 
“#”。 日 常 操作 通常 在 普通 用 户 模式 下 完成 ; 进行 管理 操作 时 ， 通 常 需要 
在 root 超级 模式 下 才 可 以 完成 。 






























































#exit 


ent0S Linux ? (( 
Kernel 3.18.8-: B86_64 on an x86_64 


liuxuegong login: newuser1 


word ; 
er1e@liuxueqdont ]9 


1-64 ”使 用 普通 用 户 登录 验证 





useradd 命令 在 创建 用 户 账号 时 ， 可 使 用 如 表 1-19 中 所 示 的 参数 对 用 户 设 定 进行 精确 
的 设置 ， 对 于 没有 设 定 的 内 容 ， 系 统 会 使 用 通用 设 定 。 
表 1-19 useradd 命令 参数 











选 项 功能 描述 
-u 设置 用 户 的 UID 
设置 用 户 的 GID 
-d 设置 用 户 的 主 目录 
-G 使 该 用 户 成 为 其 他 组 的 成 员 
-s 用 户 的 登录 Shell， 默 认为 /bin/bash 
-ce comment， 用 户 注释 





同时 设置 密码 ， 注 意 无 空格 
例 2， 使 用 参数 来 定制 账号 属性 ， 如 图 1-65 所 示 。 


#useradd -u 1005 newuser2 

#tail -2 /etc/passwd 

#tail -2 /etc/shadow 

#passwd newuser2 

在 图 1-65 中 ， 创 建 newuser2 用 户 的 时 候 ， 使 用 “-u 1005” 设 定 了 新 用 户 的 UID 属 
性 。 创 建 完成 后 ， 查 看 账号 文件 /etc/passwd， 可 以 看 到 刚才 创建 的 newuserl 的 UID 是 
1003， 那 么 接 下 来 创建 的 用 户 UID 默认 应 该 是 1004， 显 示 的 则 是 我 们 设 定 的 1005， 说 明 
我 们 的 设 定 成 功 了 。 
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: The password fails the dictionary check 
ew password: 
all authentication tokens updated successfully. 





图 1-65 ”使 用 参数 定制 账号 属性 


在 我 们 查看 /etc/shadow 文件 时 ， 比 较 newuserl 和 newuser2 用 户 信 息 ， 可 以 看 到 
newuserl 账号 的 密码 字段 是 加 密 后 的 密码 ， 而 newuser2 账号 的 秘密 字段 则 是 两 个 感叹 号 
“11”， 这 是 因为 我 们 还 没有 使 用 passwd 命令 为 它 设置 密码 ， 这 样 的 账号 是 不 能 用 来 登录 
的 。 接 下 来 我 们 别 忘 了 使 用 passwd 为 newuser2 账号 设置 密码 。 


2. 使 用 usermod 来 修改 用 户 账号 属性 


usermod 命令 用 于 改变 用 户 的 账号 设置 ， 如 UID、GID、 注 释 、 主 目录 、Shell， 其 参 
数 对 应 分 别 是 -u、-g、-c、-d、-s 等 ， 功 能 选项 类 似 于 useradd。 
例 1， 把 用 户 newuserl 的 用 户 id 改 成 1030， 如 图 1-66 所 示 。 





#usermod -u 1030 newuserl 
#tail -2 /etc/passwd 


[root@liuxuegong ~ ]# usermod -u 1838 newuse 
[roote@li “]# tail -2 


:10: 38 :1808- 0 e in/bash 
bin/bash 





图 1-66 usermod 改变 用 户 属性 


如 图 1-66 所 示 ， 通 过 tail 命令 查看 passwd 账号 信息 可 以 发 现 ，newuserl 的 用 户 UID 
属性 被 改 成 了 1030， 但 是 GID 没有 变化 ， 还 是 初始 状态 1003。 

有 些 时 候 需要 暂停 用 户 账号 的 使 用 ， 比 如 员工 出 差 ， 此 时 ， 通 过 修改 用 户 的 登录 Shell 
为 nologin 或 false， 即 可 阻止 使 用 此 账号 登录 系统 。 

例 2， 停 用 newuserl 的 账号 ， 如 图 1-67 所 示 。 





#usermod -s /sbin/nologin newuserl 
#tail -2 /etc/passwd 


[root@liwaegong ~]# usermod -s nologin newuser1 
dl 


:/home/new :/sbin/nologin 
:/home/newu /bin/bash 








图 1-67” 停 用 用 户 账号 
(62. 
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如 图 1-67 所 示 ， 使 用 -s 把 用 户 newuserl 的 登录 Shell 改 成 了 /sbin/nologin， 即 可 使 账 
号 无 法 登录 系统 。 查 看 /etc/passwd， 可 以 看 到 ， 最 后 一 个 字段 设 定 的 登录 Shell 成 功 变 成 
/sbin/nologin 了 。 当 用 户 出 差 结 束 ， 可 以 重新 解锁 用 户 ， 执 行 : 


#usermod -s /bin/bash newuserl 






































3. 使 用 userdel 来 删除 用 户 账号 


当 需 要 删除 用 户 账号 时 ， 使 用 “userdel -r 用 户 名 ”进行 删除 ，“-r” 表 示 删 除 用 户 账 

号 的 同时 删除 其 主 目录 。 
例如 ， 删 除 newuserl 账号 并 同时 删除 他 的 家 目录 ， 如 图 1-68 所 示 。 
#userdel -r newuserl 


#tail -2 /etc/passwd 
#1s /home 




















userdel -r newuserl 
etcvpassud 
bin/nologin 


er2 :binbash 





1-68 ”删除 用 户 账号 


如 图 1-68 所 示 ， 执 行 命令 后 ， 在 /etc/passwd 文件 中 ，newuserl 用 户 账号 已 经 不 存在 ; 
查看 /home 文件 夹 ，newuserl 用 户 的 家 目录 也 已 经 被 删除 。 如 果 不 加 “-r” 参 数 ， 家 目录 
是 不 会 被 删除 的 。 

4. 组 管理 

创建 新 的 用 户 组 使 用 “groupadd 组 名 称 ”，“usermod -G 组 名 称 用 户 名 ”将 一 个 已 
经 存在 的 用 户 加 入 指定 组 。gpasswd 命令 也 可 以 进行 组 管理 。 

例如 ， 组 的 操作 ， 新 建 用 户 账号 newuser2， 并 加 入 新 建 的 newgroupl 组 : 


#useradd newuser2 

#passwd newuser2 

#groupadd newgroupl 

#usermod -G newgroupl newuser2 


5. 使 用 “su - 用 户 名 ”来 切换 用 户 账号 和 环境 

使 用 exit 命令 退出 后 再 使 用 其 他 用 户 账号 登录 是 在 多 个 用 户 身 份 间 切换 的 常见 方法 ， 
除 此 之 外 ， 我 们 还 可 以 使 用 CtrltAltHF1~F7 在 多 个 虚拟 终端 切换 后 登录 ， 或 者 直接 使 用 
“su” 命 令 进行 用 户 切 换 。 

使 用 su 命令 可 改变 用 户 身 份 ， 不 仅 省 却 了 注销 和 重新 登录 过 程 ， 而 且 进 行 服务 器 远程 
管理 时 ， 为 了 安全 考虑 ， 通 常会 禁止 root 账号 远程 登录 系统 ， 此 时 需 使 用 普通 用 户 远 程 登 
录 ， 然 后 使 用 “su root” 切 换 到 root 账号 ， 就 是 最 好 的 办 法 。 
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普通 用 户 切 换 到 root 需要 输入 root 密码 ，root 切换 到 普通 用 户 不 需要 输入 密码 。 切 换 
到 root 账号 后 ， 可 执行 exit 命令 退出 root 账号 ， 此 时 将 返回 原 用 户 账号 。 
例 1， 创 建新 用 户 newuser3: 


#useradd newuser3 
#passwd newuser3 
#exit 


例 2， 使 用 newuser3 登录 系统 ， 执 行 以 下 命令 。 如 图 1-69 所 示 。 


$set | grep PATH 
$su root 

#set | grep PATH 
#exit 

S30 = ZOO 

#set | grep PATH 























[newuser38@liuxuegong ~]9 set igrep PATH 
usr“localvbin:bin:vusrvbin:vusrlocalsbin 


Bliuxuegong ~]9 su root 


Bl iuxuegong newuser3]# set igrep PATH 
ycal/bin:/bin:/usr/bin:/usr/local/sbin 


[root@liwaegong mewuser3]# exit 


x 
[TT root 
| word 
Last login: Mon Mar : 二 | T 2817 on ttyl 
[root@ liwae 

/sr, al/s ， sbin:vbin:vu 





1-69 切换 root 用 户 环境 


如 图 1-69 所 示 ， 当 使 用 newuser3 登录 系统 后 ， 查 看 系统 环境 变量 中 的 路 径 ， 设 置 
PATH;， 接 下 来 执行 “su root” 命 令 切 换 到 root 账号 ， 此 时 提示 信息 变 成 “#”， 说 明 已 经 
处 于 超级 用 户 root 账号 下 了 ; 再 次 查看 环境 变量 中 的 PATH 设置 ， 发 现 和 newuser3 的 环 
境 设置 完全 相同 。 这 说 明 虽 然 账 号 权限 都 改变 了 ， 但 是 用 户 环境 还 没有 改变 过 来 。 

执行 exit 退出 root 账号 ， 回 归 到 newuser3 账号 后 ， 再 次 执行 “su - root” 命 令 。 注 
意 : 在 命令 中 间 ， 多 了 个 “-” 号 。 此 时 再 次 切换 到 root 账号 ， 查 看 环境 设置 中 的 PATH 
设置 ， 发 现 与 newuser3 的 设置 内 容 已 经 不 同 了 ， 这 说 明 已 经 切换 到 了 root 账号 自己 的 环 
境 设 置 了 。 

如 果 没 有 切换 用 户 环 境 ， 那 么 需要 root 权限 执行 的 管理 工具 需要 添加 完整 路 径 才 可 以 
正常 运行 。 这 是 因为 普通 用 户 的 命令 查找 路 径 设 定 和 root 管理 员 的 设置 不 同 ， 不 包括 管理 
员 专 用 的 管理 命令 所 在 目录 ， 这 样 执行 时 ， 就 找 不 到 对 应 管理 命令 了 。 

王 注意 ; ”从 root 账号 切换 到 其 他 账号 直接 切换 ， 而 从 普通 账号 切换 到 其 他 账号 需要 输 
入 目标 账号 的 密码 认证 身份 才 可 以 正常 切换 过 来 。 
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服务 器 要 向 互联 网 用 户 提 供 服务 ， 它 的 他 地 址 通常 是 固定 的 。 服 务 器 具体 的 配置 信息 
要 根据 实际 情况 设 定 ， 这 里 假设 要 设 定 为 如 表 1-20 中 所 示 的 信息 。 
表 1-20 假定 设置 的 服务 器 配置 信息 








耳 地 址 192.168.125.200 
子 网 掩 码 255.255.255.0 
默认 网 关 192.168.125.2 
DNS 服务 器 1 114.114.114.114 
DNS 服务 器 2 8.8.8.8 





引 注意 : 192.168.125.0 是 C 类 保留 网 络 地 址 ， 用 于 组 建 企业 内 部 网 ， 并 不 能 够 在 公 网 
使 用 。 此 处 只 作为 练习 示例 使 用 。 具 体 环境 的 网 络 配置 信息 需 向 网 络 管理 人 
员 或 者 老师 获取 。 


1.12.1 了 解 CentOS 7 的 网 络 接口 











计算 机 要 联网 ， 需 要 专门 的 联网 设备 ， 我 们 称 为 “网 卡 ”。 网 卡 的 全 称 是 网 络 接口 卡 
(Network Interface Card，NIC)， 通 过 网 卡 ， 我 们 就 可 以 使 用 介质 ( 双 绞 线 、 光 纤 等 ) 把 计算 
机 与 网 络 连 接 起 来 。 

在 网 络 设备 生产 商 生产 网 卡 时 ， 会 给 每 块 网 卡 设置 一 个 唯一 的 标识 号 码 ， 这 个 号 码 长 
度 是 48 位 二 进 制 ， 由 “厂商 标识 + 产品 序号 ”组 成 。 这 个 号 码 ， 我 们 称 为 物理 地 址 或 者 硬 
件 地 址 ， 学 名 叫 作 介质 访问 控制 (Media Access Control，MAC) 地 址 。 这 个 地 址 是 联网 主机 
互相 识别 的 主要 依据 。 

当 进 行 网 络 通信 时 ， 就 像 写 信 ， 要 标明 发 送 方 和 接收 方 的 地 址 。MAC 地 址 主要 用 于 
局 域 网 内 部 通信 的 标识 ; 除了 MAC 地 址 之 外 ， 我 们 通常 还 需要 配置 PP 地 址 ， 这 个 地 址 主 
要 用 于 互联 网 通信 ， 或 者 更 准确 地 说 ， 是 跨 网 段 的 通信 。 

互联 网 是 由 很 多 或 大 或 小 的 网 络 互联 而 成 的 ， 在 每 个 网 段 内 部 通信 时 ，MAC 地 址 是 
主要 地 址 ， 在 主机 和 外 部 网 络 通信 时 ，IP 地 址 是 主要 地 址 。 

CentOS 7 网 络 接口 命名 策略 和 先前 的 版 本 有 所 变化 。 在 CentOS 7 之 前 使 用 传统 接口 
命名 方法 “eth”+[0 1 2 ...]，eth 表示 以 太 网 (ethernet) 接 口 网 卡 ， 后 面 是 网 卡 序 号 ， 例 如 
eth0 表示 第 一 块 网 卡 、ethl 表示 第 二 块 网 卡 。 

传统 命名 方法 优点 是 简单 易 记 ， 但 其 缺点 也 很 明显 ， 它 不 能 保证 接口 序号 标识 与 网 卡 
的 物理 位 置 一 一 对 应 。 在 我 们 添加 、 删 除 、 更 换 网 卡 时 ， 可 能 会 出 现 接口 序号 标识 改变 的 
问题 ， 比 如 原来 是 eth0， 更 换 一 块 网 卡 后 变 成 eth1。 
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在 CentOS 7 中 ， 使 用 了 新 的 命名 方法 ， 新 方法 的 前 两 位 代表 接口 类 型 ，en 代表 以 太 
网 ， wl 代表 WLAN( 无 线 局 域 网 )，ww 代表 WWAN( 无 线 广域网 )。 对 于 以 太 网 网 卡 ， 接 
下 来 第 三 位 ， 如 果 是 板 载 设备 ， 即 主板 集成 网 卡 ， 用 o(onboard) 表 示 ; 如 果 是 插 在 主板 上 
总 线 插 槽 卡 ， 用 s(slot， 插 槽 ) 表 示 ; 如 果 是 外 置 网 卡 ， 用 p 表示 ; 其 他 以 太 网 网 卡 ， 用 x 
表示 。 第 四 位 开始 ， 网 卡 位 置 类 型 不 同 ， 编 码 规则 也 不 同 。 例 如 ens33，en 表示 以 太 网 
卡 ，s 表示 是 插 在 主板 扩展 插 槽 上 的 网 卡 ，33 是 网 卡 所 在 插 槽 的 位 置 标识 。 

例如 ， 使 用 命令 查看 本 机 网 卡 接口 配置 文件 内 容 : 


#1s /etc/sysconfig/network-scripts 
#cat /etc/sysconfig/network-scripts/ifcfg-en##4# 














任务 实践 
1.12.2 配置 网 络 和 主机 名 


CentOS 7 使 用 NetworkManager 守护 进程 来 管理 网 络 ， 进 行 网 络 配置 前 ， 需 要 检查 
NetworkManager 服务 是 否 已 经 安装 并 正常 运行 ， 如 果 没 有 安装 ， 使 用 “yum install 
NetworkManager” 进 行 安装 。 

NetworkManager 服务 的 基本 操作 如 表 1-21 所 示 。 

表 1-21 NetworkManager 服务 的 管理 命令 


要 完成 的 操作 命令 实现 
查看 是 否 安装 #yum info NetworkManager 
安装 软件 #yum install NetworkManager 
启动 服务 #systemetl] start NetworkManager.service 
停止 服务 #systemct] stop NetworkManager.service 
重新 启动 服务 #systemctl restart NetworkManager.service 
查看 服务 状态 #systemctl] status NetworkManager.service 
开机 启动 服务 #systemctl enable NetworkManager.service 


1. 使 用 nmtui 文本 交互 式 工 具 进行 网 络 配置 

nmtui(NetworkManager Text User Interface) 是 基于 命令 行 的 网 络 配置 工具 ， 首 先 ， 检 测 
nmtui 是 否 安装 ， 如 果 未 安装 ， 则 使 用 命令 “yum install NetworkManager-tui” 进 行 安装 。 

例 1， 检 查 并 安装 nmtui: 


#yum info NetworkManager-tui 
#yum install NetworkManager-tui 


(1) 执行 nmtui 命令 ， 可 以 看 到 三 个 命令 选项 ， 如 图 1-70 所 示 。 





.66\， 


项 目 一 Linux 系统 的 安装 和 基本 配置 万 4 有 盈 





1-70 ”nmtui 界面 


@ Edit a connection( 编 辑 连接 ): 进行 网 络 配 置 。 

@ Activate a connection( 激 活 连接 ): 把 网 络 接口 激活 ， 让 网 络 配置 生效 。 

@ ”Set system hostname( 设 定 系 统 主机 名 ): 设置 计算 机 名 称 。 

(2) 选择 “编辑 连接 ”， 或 者 在 命令 行 直接 输入 “#mmtui edit ens33”( 把 ens33 改 成 先 
前 你 看 到 的 本 机 网 卡 名 ) 来 直接 编辑 指定 网 卡 ， 如 图 1-71 所 示 。 





1-71 配置 网 络 设置 


(3) 配置 完成 后 ， 选 择 “ 激 活 连接 ”或 者 在 命令 行 直接 输入 命令 “nmtui connect 
ens33”( 改 成 你 的 网 卡 名 )， 激 活 你 的 网 卡 。 

(4) 选择 “ 设 定 系 统 主机 名 ”来 设置 你 的 计算 机 名 称 。 

计算 机 名 称 设 定 应 符合 “ 见 文 知 意 ”的 原则 ， 简 单 的 名 称 例 如 “Server+ 序 号 ”， 或 者 
按照 功能 命名 如 “WebServer/TestServer” 等 。 在 企业 环境 中 ， 通 常 有 很 多 服务 器 ， 此 时 会 
制订 合理 的 命名 规范 ， 然 后 按照 规则 设 定 服务 器 名 称 ， 以 便 实施 统一 化 管理 。 

(5) 配置 完成 后 需要 通知 NetworkManager 服务 来 激活 新 的 设置 ， 执 行 命令 “systemctl 
restart NetworkManager.service”， 执 行 ifconfig 查看 网 络 更 新 后 的 情况 ， 以 验证 配置 是 否 
生效 。 
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例 2， 按 要 求 配置 网 络 设置 ， 如 图 1-72 所 示 。 


#1s /etc/sysconfig/network-scripts/ 
#nmtui edit ens33 

#nmtui connect ens33 

#ifconfig 

#systemctl1 restart NetworkManager.service 
#ifconfig 


[root@localhost dhcp]# systemctl] restart NetworkManager.s 
[root@localhost dhcp]# ifconf ig 


5,MULTICAST> mtu 1588 
netmask 8 broadcast 1 
a484:5ed6 4 scopeid Bx2 

2 txqueuelen 1888 (Ethernet) 
packets 132 92658 (98.4 KiB) 

errors 8 dropped 8 xerruns 8 frame 0 

packets 326 bytes 27546 (26.9 KiB) 

errors 8 dropped 8 overruns 8 carrier 8 collisions 8 


LOOPBACK, RUNNING> mtu 65536 
8.8.1 metmask 255.8.8.8 
inet6 ::1 prefixlen 128 scopeid Bx18<host 
loop txqueuelen 1 (Local Loopback) 
packets bytes 8264 (8.8 KiB) 
dropped 8 overruns 8 frame 8 
byte 4 (8.8 KiB) 
8 dropped 8 o 8 carrier 8 collisions 8 





图 1-72 查看 配置 结果 
2. 直接 编辑 配置 文件 进行 网 络 配置 


(1) 使 用 ifconfig 命令 检查 了 当前 的 网 络 配置 信息 。 
“yum install net-tools” 来 安装 ， 如 图 1-73 所 示 。 





如 果 ifconfig 命令 未 安装 ， 


[root@localhost ~]# ifconf ig 
163<UP, BROADCAST, RUNNING, MULTICAST> mtu 1588 
mask 255.255.255.8 broadcast 192 
inet6 fe: 7c:a Sed6 prefixlen 64 scopeid Bx28 
ether 88:8c 6b:a queuelen 1888 (Ethernet) 
ackets 1698 bytes 1 (175.9 KiB) 
errors 8 dropped 9 runs 8 frame 8 
packets 228 bytes 37838 (36.1 KiB) 
errors 8 dropped 8 overruns 8 carrier 8 collisions 8 


lo: flags=73¢UP,LOOPBACK,RUNNING> mtu 65536 
8.8.1 netmsk 2 8.8.8 
1 prefixlen 12 opeid Bx19<host> 
txqueuelen 1 (Lc 
byte 
9 dropped 8 over frame 8 
E tes 62 KiB 





carrier 8 collisions 8 


1-73 ”查看 网 络 配置 


(2) 执行 ifconfig 命令 ， 可 以 看 到 显示 有 两 个 网 络 接口 信息 ， 第 一 个 是 ens33， 


可 执行 


本 机 网 


发 ;第 二 个 是 lbo， 是 网 络 测试 的 环 回 接口 。 如 果 本 机 有 多 块 网 卡 ， 可 能 会 看 到 更 多 信息 。 
(3) 使 用 vi 编辑 器 直接 编辑 网 卡 配 置 文件 ， 在 /etc/sysconfig/network-scripts 目录 下 查 
找 “ 这 人 fg-” 开 头 的 文件 ， 会 找到 一 个 文件 ifcfe-lo， 这 是 网 络 环 回 测试 (loop 测试 ) 接 口 的 配 
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置 文件 ， 此 文件 不 需要 改动 ， 另 外 的 “这 fg- 霸 红 # ”就 是 要 找 的 配置 文件 ， 此 文件 root 
户 才 有 权限 进行 配置 。 使 用 cat 命令 查看 文件 内 容 ， 使 用 vi 命令 进行 编辑 和 保存 。 

例 1， 查 看 当前 网 络 配 置 ， 如 图 1-74 所 示 。 

#cd /etc/sysconfig/network-scripts 


#15s 
#cat /etc/sysconfig/network-scripts/ifcfg-##### 








network-scripts]# cat ifcfg-ens33 


LURE 
ADDR_GEN_MODE ble-privacy” 


facl5f5-fefa-4255-a887-e843b89f4e58" 
33" 





[root@localhost network-scripts]# _ 
图 1-74 查看 网 卡 配置 文件 


(4) 执行 “vi/etc/sysconfig/network-scripts/ifcfg- 检 ## 虐 ”命令 打开 网 卡 配 置 文件 ， 按 i 
键 从 命令 模式 进入 编辑 模式 ， 编 辑 文件 中 的 指定 设 定 信息 ， 不 要 修改 任何 其 他 的 内 容 ， 保 
留 双 引 号 ， 在 双 引 号 里 面 输入 要 配置 的 数据 信息 。 配 置 文件 中 缺少 的 字段 ， 手 动 添加 ， 如 
表 1-22 所 示 。 编 辑 完成 ， 按 Esc 返回 命令 模式 ， 输 入 “:wq” 保 存 文件 并 退出 vi。 
表 1-22 ”编辑 网 卡 配置 文件 


要 添加 或 修改 的 语句 
BOOTPROTO= static” 
IPADDR= 10.64.125.100” 
NETMASK="255.255.255.0” 
GATEWAY="10.64.125.254” 
DNS1="°114.114.114.114” 
DNS2="8.8.8.8” 


例 2， 编 辑 网 卡 配置 文件 ， 查 看 并 记录 当前 状态 ， 与 配置 项 对 照 。 


#vi /etc/sysconfig/network-scripts/ifcfg-ens33 
#ifconfig 


(5) 网 卡 配置 完成 后 ， 需 要 通知 NetworkManager 服务 来 激活 新 的 设置 ， 执 行 命令 
“systemectl restart NetworkManager.service”， 再 次 执行 这 onfig 查看 网 络 更 新 后 的 情况 ， 


.Ge 


语句 功能 描述 
static 表示 静态 配置 IP 地 址 ，dhcp 表示 动态 获取 
按 要 求 配置 人 P 地 址 
按 要 求 配置 子 网 掩 码 ， 这 里 也 可 以 写成 PREFIX=“24” 
按 要 求 配置 默认 网 关 
按 要 求 配置 DNS 服务 器 设置 ， 相 关 设 置 也 可 以 在 resolve.conf 
文件 进行 设置 
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给 证 配置 是 否 生 效 。 

例 3， 重 启 网 络 管理 服务 ， 再 查看 ， 与 配置 项 对 照 。 

#systemctl] restart NetworkManager.service 

#ifconfig 

(6) 要 设置 服务 器 的 主机 名 称 ， 首 先 ， 执 行 hostname 查看 当前 服务 器 名 称 。 要 设置 新 
的 主机 名 称 ， 如 图 1-75 所 示 ， 我 们 需要 编辑 /etc/hostsname 文件 并 用 指定 的 名 称 替 换 旧 的 
主机 名 称 。 设 置 完 主机 名 称 后 ， 执 行 exit 注销 ， 之 后 重新 登录 ， 或 者 把 NetworkManager 服 
务 重 新 启动 后 ， 再 次 执行 hostname 命令 验证 主机 名 称 是 否 修改 成 功 。 

#vi /etc/hostname 

#hostname 


#systemctl1 restart NetworkManager.service 
#hostname 











[root®@liuxuegong ~]# hostname 
liuxuegong .local 


root@liuxuegong ~]# syUstemct1 restart NetworkManager .seruice 
[rootB@liuxuegong ~]# hostname 





liuxuegong1.1ocal 


1-75 修改 主机 名 


(7) 如 图 1-75 所 示 ， 把 /etc/hostname 文件 中 的 主机 名 从 liuxuegong.local 修改 成 为 
liuxuegongl.local 后 ， 执 行 hostname 命令 查看 主机 名 ， 发现 并 没有 改变 ， 重 新 启动 
NetworkManager 服务 后 ， 再 次 查看 主机 名 ， 发 现 改变 生效 了 。 

读者 学 到 这 里 ， 会 不 会 觉得 有 点 困难 呢 ? 还 是 有 些 兴 趣 嚼 然 ? 使 用 nmtui 工具 ， 我 们 
可 以 较 方 便 地 配置 网 络 ， 而 直接 修改 配置 ， 则 需要 对 网 络 的 运行 和 配置 文件 的 设置 有 所 了 
解 ， 这 无 疑 增加 了 大 家 的 学 习 难度 。 

使 用 工具 ， 入 门 快 ， 我 们 当然 要 好 好 利用 工具 ; 但 是 也 要 记 住 ， 不 是 所 有 的 环境 下 都 
有 工具 的 ， 也 不 是 所 有 的 功能 都 可 以 使 用 工具 来 完成 的 。 因 此 ， 可 以 使 用 但 不 能 依赖 。 

直接 编辑 配置 文件 ， 意 味 着 直接 调整 系统 的 运行 。 要 记 住 ， 整 个 服务 器 系统 的 运行 是 
一 个 超级 庞大 而 且 关 联 紧密 的 系统 ， 你 的 每 一 点 微小 改动 很 可 能 像 蝴 蝶 效 应 一 样 ， 引 发 雪 
骨 式 的 效果 。 所 以 ， 这 是 一 把 利 剑 ， 效 果 显著 的 同时 ， 也 要 小 心 伤 到 自己 。 





1.12.3 ”暂时 关闭 安全 机 制 ， 简 化 练习 环境 


作为 服务 器 ， 对 安全 的 要 求 是 很 高 的 。 我 们 知道 ， 安 全 性 提高 了 ， 那 么 系统 限制 随 之 
而 来 ， 使 用 系统 就 会 变 得 困难 。 这 会 增 大 我 们 学 习 的 难度 。 

可 能 会 影响 到 实验 效果 的 主要 是 访问 权限 的 设 定 、 防 火 墙 对 网 络 通 信 的 拦截 以 及 
SELinux 安全 策略 对 操作 的 审核 。 

在 实验 练习 中 ， 如 果 发 现实 验 过 程 出 现 偏差 ， 除 了 配置 失误 的 原因 外 ， 还 有 可 能 是 系 
统 的 安全 机 制造 成 的 。 
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问题 一 ， 由 于 对 操作 目标 权限 不 足 ， 导 致 操作 无 法 正常 完成 。 

此 时 ， 可 以 根据 需要 赋予 相关 权限 ， 或 者 简单 地 把 权限 提升 到 最 高 。 当 然 ， 在 实际 工 
作 场 合 ， 把 权限 提升 到 最 高 很 可 能 导致 安全 隐患 。 

例 1， 查 看 访问 权限 ， 并 提高 用 户 对 目录 和 文件 的 访问 权限 : 

#1s -1 文件 或 者 目录 名 

#chmod 777 文件 或 目录 名 

问题 二 : 到 目标 的 网 络 是 畅通 的 ， 但 是 某 服务 无 法 连接 。 

这 通常 是 因为 通信 被 防火 墙 拦 截 造成 的 ， 此 时 可 以 配置 防火 墙 ， 打开 指 定 的 通信 端 
口 ， 允 许 信 息 通过 ; 或 者 更 简单 的 ， 是 把 防火 墙 服务 firewalld 暂时 关闭 掉 。 

例 2， 暂 时 关闭 防火 墙 : 


#systemctl stop firewalld 


问题 三 ， 权 限 也 设 了 ， 防 火 墙 也 关闭 了 ， 还 是 操作 不 成 功 。 

系统 最 底层 还 有 一 级 安全 机 制 ， 就 是 系统 安全 策略 SElinux 设置 。 调 整 SElinux 设置 
比较 复杂 ， 建 议 暂 时 关闭 SElinux。 

例 3， 关 闭 SElinux 安全 策略 : 


#setenforce 0 


























1.13 ”常用 的 网 络 管理 命令 
1.13.1 使 用 ip 命令 管理 网 络 


1. 安装 iproute 基本 网 络 管理 命令 软件 包 

进行 网 络 配置 所 使 用 的 命令 ， 基 本 都 来 自 于 两 个 包 net-tools 或 者 iproute。net-tools 已 
经 渐渐 过 时 ， 不 再 维护 升级 ， 现 在 主要 使 用 的 是 iproute 包 。 在 CentOS 7 中 ， 默 认 已 经 安 
装 了 iproute 包 ，net-tools 包 则 不 再 默认 安装 了 。 

例如 ， 检 查 iproute 包 是 否 安装 ， 如 果 未 安装 ， 执 行 命令 安装 : 


#yum info iproute 
#yum install iproute 


net-tools 包 在 Linux 环境 下 使 用 了 很 长 时 间 ， 如 图 1-76 所 示 是 net-tools 包 里 面 的 命令 
和 iproute 包 中 的 对 应 命令 。 


2. 设置 和 删除 IP 地 址 
例 1， 要 给 你 的 机 器 设置 一 个 人 P 地址 ， 可 以 使 用 下 列 记 命令 : 


#ip addr show ens33 
#ip addr add 192.168.125.200/24 dev ens33 
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net-tools iproute 


arp -na 


onfig 


ip help 
ip-s link 


ip link set ethO up 





1-76 ”网 络 命令 对 照 


dev(device， 设 备 ) 参 数 指定 要 配置 的 网 络 设备 的 标识 ， 另 外 ， 配 置 的 IP 地 址 要 有 一 个 
后 级 ， 比 如 /24， 表 示 子 网 掩 码 位 数 是 24 位 ， 即 255.255.255.0。 
例 2， 设 置 好 IP 地 址 后 ， 查 看 是 否 已 经 生效 ， 如 图 1-77 所 示 。 


#ip addr show ens33 


]# ip addr show ens33 
JLTICAST, UP ,LOWI P> mtu 1588 qdisc pf ifo_fa 
- ‘ f 





gong -]# _ 


图 1-77 设置 IP 地址 
例 3， 可 以 使 用 相同 的 方式 来 删除 IP 地 址 ， 只 需 用 del 代替 add: 


#ip addr del 192.168.125.128/24 dev ens33 


3. 更 改 默 认 路 由 

记 命令 的 路 由 对 象 的 参数 还 可 以 帮助 你 查看 网 络 中 的 路 由 数据 ， 并 设置 你 的 路 由 表 。 
第 一 个 条 目 是 默认 的 路 由 条 目 ， 你 可 以 改动 它 ， 指 向 你 所 在 网 络 的 默认 网 关 。 

例 1， 查 看 路 由 表 信 息 ， 如 图 1-78 所 示 。 


# ip route show 





how 
e proto static metric 168 


proto kernel scope link src 





图 1-78 查看 本 地 路 由 表 信 息 
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如 图 1-78 所 示 ，default 表示 是 默认 路 由 ，via 192.168.125.2 表示 默认 路 由 的 他 地 址 是 
这 个 ; dev ens33 表示 发 往 默 认 路 由 的 信息 由 此 网 络 接 口 发 送 ，static 表示 此 路 由 是 静态 路 
由 ，metric 100 是 度量 值 。 

例 2， 更 改 默认 路 由 : 


#ip route add default via 192.168.125.2 





















































4. 显示 网 络 统计 数据 

使 用 ip 命令 还 可 以 显示 不 同 网 络 接口 的 统计 数据 。 

当 你 需要 获取 一 个 特定 网 络 接口 的 信息 时 ， 在 网 络 接口 名 字 后 面 添加 选项 “ls 接口 ” 
即 可 。link/ether 后 跟 的 是 设备 的 物理 地 址 ，RX 这 一 行 是 接收 的 信息 统计 ，TX 这 一 行 是 发 
送 的 信息 统计 。 

例如 ， 查 看 网 络 接口 信息 ， 如 图 1-79 所 示 。 


#ip -s link 
#ip -s link 1s ens33 


link 1s ens33 
AST,UP ,LOWER_UP> mtu 1588 qdi 





1-79 ”查看 网 络 接口 统计 信息 
5. 查看 ARP 信息 
地 址 解析 协议 (ARP) 用 于 将 一 个 P 地 址 转换 成 它 对 应 的 物理 地 址 ， 也 就 是 通常 所 说 的 
MAC 地 址 。 使 用 ip 命令 的 neigh 或 者 neighbour 选项 ， 你 可 以 查看 接 入 你 所 在 的 局 域 网 的 
设备 的 MAC 地 址 。 
例如 ， 查 看 邻居 信息 ， 如 图 1-80 所 示 。 
#ip neighbour 


ddr 88:58:5 
33 lladdr 88:58:5 





[rootB@liuxuegong 


1-80 ”查看 邻居 信息 
6. 监控 netlink 消息 


可 以 使 用 ip 命令 查看 netlink 消息 。monitor 选项 允许 你 查看 网 络 设备 的 状态 。 比 如 ， 
所 在 局 域 网 的 一 台电 脑 ， 根 据 它 的 状态 可 以 被 分 类 成 REACHABLE 或 者 STALE。 使 用 下 


面 的 命令 。 
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例如 ， 监 控 网 络 设备 状态 ， 如 图 1-81 所 示 。 


#ip monitor all 


TreootB@liuxuegong ~]# ip monitor all 


[nsid current]192.1 ra 3 11a 


[nsid current]192 . 2Z lladdr @ 8: 
[nsid current]192 . 3 lladdr CHABLE 


[nsid current]192 lladdr B80 8 IF 


addr 





图 1-81 监控 网 络 
7. 激活 和 停止 网 络 接口 


设备 的 状态 


例如 ， 可 以 使 用 ip 命令 的 up 和 down 选项 来 激 某 个 特定 的 接口 : 


#ip link set ens33 down 
#ip link set ens33 up 


8. 获取 帮助 


当 你 陷入 困境 ， 不 知道 某 一 个 特定 的 选项 怎么 用 的 时 候 ， 你 可 以 使 用 help 选项 。man 


页 面 并 不 会 提供 许多 关于 如 何 使 用 jp 选项 的 信息 ， 


例如 ， 查 看 ip 命令 的 route 选项 的 相关 信息 ， 


#ip route help 


]# ip route help 
ush 


howdump 


ip route get ADDRESS [ from 
[ oif S11 


因此 这 里 就 是 获取 帮助 的 地 方 。 
如 图 1-82 所 示 。 


ECTOR 





1-82 ”查看 IP 选项 帮助 信息 


1.13.2 网络 检测 命令 


1. 用 ping 命令 检查 网 络 是 否 通畅 或 网 络 连接 速度 


Linux 系统 的 ping 命令 是 常用 的 网 络 命令 ， 


它 通 常用 来 测试 与 目标 主机 的 连通 性 ， 我 


们 经 常会 说 “Ping 一 下 某 机 器 ， 看 是 不 是 开 着 ”， 在 不 能 打开 网 页 时 ， 会 说 “你 先 Ping 网 


关 地 址 试 试 ”。 它 通过 发 送 ICMP 测试 数据 包 型 
可 以 根据 它 输出 的 信息 来 确定 目标 主机 是 否 可 访 | 


网 络 主机 ， 并 显示 响应 情况 ， 这 样 我 们 就 


问 了 。 


有 些 服务 器 为 了 防止 通过 ping 探测 到 ， 通 过 防火 墙 设置 了 禁止 ping 或 者 在 内 核 参数 








禁止 ping， 这 样 就 不 能 通过 ping 确定 该 主机 是 
Linux 下 的 ping 和 Windows 下 的 ping 稍 有 
按 Ctrl+C 终止 或 者 用 参数 -c 指定 要 求 完成 的 测试 


.TAN. 























否 还 处 于 开启 状态 。 
区 别 ，Linux 下 ping 不 会 自动 终止 ， 需 要 
次 数 。 
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(1) 命令 格式 : 

ping 参数 主机 名 或 IP 地 址 

(2) 命令 功能 。 

ping 命令 用 于 确定 网 络 和 各 外 部 主机 的 状态 ， 跟 踪 和 隔离 硬件 和 软件 问题 ， 测 试 、 评 


估 和 管理 网 络 。 





如 果 目 标 主机 正在 运行 并 连 在 网 上 ， 它 就 对 测试 信号 进行 响应 。 

ping 命令 每 秒 发 送 一 个 数据 包 并 且 为 每 个 接收 到 的 响应 打印 一 行 输出 。ping 命令 计算 
信号 往返 时 间 和 数据 包 丢 失 情 况 的 统计 信息 ， 并 且 在 完成 之 后 显示 一 个 简要 总 结 。ping 命 
令 在 程序 超时 或 当 接收 到 回 送信 号 时 结束 。 

测试 的 目标 可 以 是 一 个 主机 名 ， 也 可 以 是 瑟 地 址 ， 当 然 ， 测 试 进行 前 ， 主 机 名 也 会 自 
动 转化 成 他 地址 才 可 以 进行 测试 。 

(3) 命令 参数 。 

ping 命令 的 各 参数 及 其 功能 说 明 如 表 1-23 所 示 。 





表 1-23 ping 命令 的 参数 

















参数 选项 功能 说 明 
极限 检测 。 大 量 且 快 速 地 送 网 络 封包 给 一 台 机 器 ， 看 它 的 回应 
忽略 普通 的 Routing Table， 直 接 将 数据 包 送 到 远 端 主机 上 。 通 常 是 查看 本 机 的 网 络 
一 接口 是 否 有 问题 
R 记录 路 由 过 程 
sh 详细 显示 指令 的 执行 过 程 
-e 数目 在 发 送 指定 数目 的 包 后 停止 
-i 秒 数 设 定 间隔 几 秒 送 一 个 网 络 封包 给 一 台 机 器 ， 预 设 值 是 一 秒 送 一 次 
-p 范本 设置 填 满 数据 包 的 范本 样式 
指定 发 送 的 数据 字 节 数 ， 预 设 值 是 56， 加 上 8 字 节 的 ICMP 头 ， 一 共 是 64ICMP 数 
-s 字 节 数 
据 字 节 
-t 时 间 设置 存活 数值 TTL 的 大 小 
例 1， 测 试 本 机 的 网 络 功能 是 否 正常 : 


#ping 1 
例 2， 测 
#ping 1 
例 3， 测 
#ping 1 
例 4， 测 


#ping 1 


2 D0 

试 本 机 卫 地址 (192.168.125.100) 是 否 正常 配置 : 
92.168.125.100 

试 本 地 网 关 是 否 正常 工作 ， 如 图 1-83 所 示 。 
S21L680>125:2 


试 本 地 域名 服务 器 是 否 正常 工作 : 


14.114.114.114 
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的 网 
址 ， 


接 正 


令 执 


, time ZBB1m 





图 1-83 ”ping 网 络 连通 测试 
2. 用 ss 命令 显示 网 络 连接 、 路 由 表 或 接口 状态 
ss 命令 用 于 显示 网 络 的 通信 状态 。 具 体 地 说 ， 可 以 通过 ss 命令 查看 本 机 和 其 他 计算 机 
络 连接 信息 ， 包 括 本 机 使 用 的 人 P 地 址 和 端口 地 址 ， 以 及 对 方 使 用 的 人 P 地 址 和 端口 地 
是 一 个 非常 实用 、 快 速 、 有 效 的 跟踪 人 P 连接 的 新 工具 。 
例如 ， 使 用 time 命令 对 比 netstat 和 ss 的 执行 速度 ， 统 计 服务 器 并 发 连接 数 : 
#time netstat -ant | grep EST | wc -1 
3100 
real 0m12.960s 
user 0m0.334s 
sys Om1l2.561s 
3100 是 最 后 的 命令 “we -1” 的 输出 信息 ， 并 发 连接 数 共 3100 个 ， 意 味 着 有 3100 个 连 
在 跟 本 机 通信 。 然 后 是 命令 使 用 的 时 间 ， 共 使 用 13 秒 完成 查找 统计 。 
又 如 : 


# time ss -o state established | wc -1 

3204 

real 0m0.030s 

user 0m0.005s 

sys 0m0.026s 

3204 是 最 后 的 命令 “wc -1” 的 输出 信息 ， 当 前 连接 本 机 的 TCP 连接 数 共 3204 个 ， 命 
行 共 使 用 0.03 秒 完成 查找 统计 。 

从 结果 上 看 ，ss 统计 并 发 连接 数 效率 远 超 netstat， 因 此 ss 的 使 用 越 来 越 普 遍 。 

为 什么 ss 比 netstat 快 ? 这 是 因为 netstat 是 遍历 /proc 下 面 每 个 PID 目录 ，ss 直接 读 


/proc/net 下 面 的 统计 信息 ， 所 以 ss 执行 的 时 候 ， 所 消耗 的 资源 以 及 消耗 的 时 间 都 比 netstat 


少 很 


多 。 

3. 常用 ss 命令 选项 

常用 ss 命令 选项 及 其 功能 描述 如 表 1-24 所 示 。 

例 1， 列 出 当前 已 经 连接 、 关 闭 、 等 待 的 TCP 连接 : 


























F303 
例 2， 列 出 当前 监听 端 
3a 





例 3， 列 出 每 个 进程 名 及 其 监听 的 端 


#55 -pl 














例 4， 列 出 所 有 的 TCP 端口 ， 如 图 1-84 
#ss -t -a 
例 5， 列 出 所 有 UDP 端口 : 


#ss -u -a 


项 目 一 


所 示 。 


表 1-24 ss 命令 的 常用 选项 











命令 选项 功能 描述 
i | 显示 本 地 打开 的 所 有 端口 
wl | 显示 每 个 进程 具体 打开 的 端 
ss -t -a 显示 打开 的 所 有 TCP 端口 
SS -u-a 显示 打开 的 所 有 的 UDP 端口 
ws 列 出 当前 打开 端口 的 详细 信息 





[rootBliuxuegong ~]# s 
Recu-Q Send-Q 





t -a 
Lc 


27.8.8.1:smtp 
27.8.8.1 


1:doma 


1:s 


图 1-84 显示 所 有 使 用 的 TCP 端口 


4. 使 用 traceroute 命令 探测 至 目的 地 址 
通过 traceroute 命令 ,我 们 可 以 知道 信 ! 
什么 路 径 。 当 然 ， 每 
(destination) 走 的 路 径 可 能 会 不 一 样 ， 但 基本 . 
traceroute 程序 的 设计 是 利用 ICMP 及 了 P 
首先 ，traceroute 送出 一 个 TIL 是 1 的 
由 器 (router) 收 到 这 个 包 时 ， 它 将 TIL 减 1。 
据 包 丢掉 ， 并 送 回 一 个 ICMP 消息 ， 告 知 数 


便 知道 这 个 路 由 器 存在 于 这 个 路 径 上 。 








的 路 由 信息 
息 从 你 的 计算 机 到 互联 网 另 一 端的 主机 是 走 的 


次 数据 包 由 某 一 同样 的 出 发 点 (source) 到 达 某 一 同样 的 目的 地 


-来 说 ， 大 部 分 时 候 所 走 的 路 由 是 相同 的 。 
header 的 TTL(Time To Live) 字 段 。 

ICMP 数据 包 到 目的 地 ， 当 路 径 上 的 第 一 个 路 
时 ，TTL 变 为 0 了 ， 所 以 该 路 由 器 会 将 此 数 
据 包 被 丢弃 的 情况 ， 发 送 端 收 到 这 个 消息 后 ， 


接着 traceroute 再 送出 另 一 个 TIL 是 2 的 数据 包 ， 发 现 第 2 个 路 由 器 。 


traceroute 每 次 将 送出 的 数据 包 的 TTL 力 


直 持续 到 某 个 数据 包 抵 达 目 的 地 。 当 到 达 目 





0 1 来 发 现 另 一 个 路 由 器 ， 这 个 重复 的 动作 一 
的 地 后 ， 该 主机 并 不 会 送 回 报错 消息 ， 因 为 它 
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已 是 目的 地 了 。 

Traceroute 会 提取 回复 错误 信息 的 设备 的 人 P 地 址 等 信息 。 这 样 ，traceroute 打印 出 一 系 
列 数 据 ， 包 括 所 经 过 的 路 由 设备 的 域名 及 IP 地 址 ， 三 个 包 每 次 来 回 所 花 时 间 。 如 图 1-85 
所 示 。 

#yum install traceroute 

#traceroute www.csdn.net 














38 hops max, 68 byte packets 


8.184 ms 日 .117 ms 





1-85 ”追踪 路 由 路 径 


[ 疼 | 说 明 : ”记录 序列 号 从 1 开始 ， 每 个 记录 就 是 一 跳 ， 每 跳 表示 到 达 一 个 网 关 ， 我 们 
看 到 每 行 有 三 个 时 间 ， 单 位 是 ms， 其 实 就 是 -q 的 默认 参数 。 探 测 数据 包 向 
每 个 网 关 发 送 三 个 数据 包 后 ， 网 关 响 应 后 返回 的 时 间 ; 如 果 用 traceroute -q 
4 www.sohu.com， 表 示 向 每 个 网 关 发 送 4 个 数据 包 。 


有 时 我 们 traceroute 一 台 主 机 时 ， 会 看 到 有 一 些 行 是 以 星 号 表示 的 。 出 现 这 样 的 情 
况 ， 可 能 是 防火 墙 拦截 了 ICMP 的 返回 信息 ， 所 以 我 们 得 不 到 相关 的 数据 包 返 回 数据 。 

为 什么 要 拦截 ICMP 信息 呢 ? 这 是 因为 网 络 攻击 经 常会 利用 ICMP 来 搜集 主机 信息 
或 者 进行 DOS 攻击 。 因 为 ICMP 的 消息 自动 回复 特性 ， 回复 的 信息 就 可 以 被 攻击 者 采集 
和 利用 ， 如 果 同 时 有 大 量 的 ICMP 测试 包 到 达 服 务 器 ， 自 动 回 复 这 些 测试 包 会 瞬间 占据 服 
务 器 大 量 资源 ， 可 能 会 导致 服务 器 无 法 继续 正常 提供 服务 ， 严 重 时 甚至 会 当 机 。 

有 时 我 们 在 某 一 网 关 处 延 时 比较 长 ， 有 可 能 是 某 台 网 关 比 较 阻塞 ， 也 可 能 是 物理 设备 
本 身 的 原因 。 当 然 ， 如 果 某 台 DNS 出 现 问题 时 ， 不 能 解析 主机 名 、 域 名 时 ， 也 会 有 延 时 
长 的 现象 ， 您 可 以 加 -n 参数 来 避免 DNS 解析 ， 以 中 格式 输出 数据 。 

如 果 在 某 个 路 由 设备 上 的 时 延 突然 增加 很 多 ， 通 常 意味 着 这 台 路 由 设备 工作 异常 。 我 
们 不 能 控制 或 者 查看 那 台 设备 的 具体 配置 信息 ， 但 是 可 以 想 办 法 绕 开 那 台 路 由 设备 ， 比 如 
使 用 代理 。 


1.13.3 ”文件 传输 和 下 载 





1. 使 用 scp 命令 在 主机 之 间 复制 文件 

scp 就 是 “secure copy” 的 意思 ， 是 一 个 在 Linux 下 用 来 进行 远程 拷贝 文件 的 命令 。 
secure 意味 着 会 进行 通信 加 密 ， 保 证 传输 数据 安全 。 

有 时 ， 我 们 需要 获得 远程 服务 器 上 的 某 个 文件 ， 该 服务 器 既 没 有 配置 FTP 服务 器 ， 也 
没有 做 共享 ， 无 法 通过 常规 途径 获得 文件 时 ， 只 需要 通过 简单 的 scp 命令 便 可 达到 目的 。 

例如 ， 将 本 机 文件 复制 到 远程 服务 器 上 ， 如 图 1-86 所 示 。 


#scp /root/aks2.cfg root@192.168.125.129:/root 


/78N. 
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ntinue connecting (yes/no)? 


125.129’ (ECDSA) to the list of 





1-86 ”scp 从 本 地 复制 到 远程 服务 器 


命令 说 明 : /root/aks2.cfg 是 要 复制 的 本 地 文件 的 绝对 路 径 ，aks2.cfg 是 要 复制 到 远程 服 
务 器 上 的 本 地 文件 。 

在 要 复制 的 远程 服务 器 上 ， 要 通过 root 用 户 (@ 之 前 是 目标 服务 器 上 的 用 户 名 ) 进 行 登 
录 ， 此 用 户 需 要 在 目标 目录 上 具有 写 权 限 ， 不 然 无 法 复制 成 功 。192.168.125.129 是 远程 服 
务 器 的 瑟 地址， 这 里 也 可 以 使 用 域名 或 机 器 名 。“:” 后 跟 的 是 文件 在 远程 服务 器 上 的 存 
放 位 置 ， 这 里 是 /root。 

通过 root 用 户 登录 远程 服务 器 时 ， 要 输入 yes 表示 同意 建立 ssh 连接 ;然后 按照 提示 
输入 root 用 户 的 密码 ，ssh 连接 就 建立 成 功 了 。 接 下 来 开始 传输 文件 ， 显 示 百 分 比 、 实 际 
时 间 和 传送 速度 等 信息 。 

命令 执行 完毕 ， 可 以 登录 远程 服务 器 ， 查 看 文件 是 否 复制 到 了 指定 位 置 。 

例如 ， 将 远程 服务 器 上 的 文件 复制 到 本 机 ， 如 图 1-87 所 示 。 

#scp root@192.168.125.129:/root/a.cfg /root 

#1s -1 /root/a.cfg 





[root@1iwaegong cp root@192.168.125.12° 
rootB@192 . 16; 129' s password 





图 1-87 ”从 远程 服务 器 复制 到 本 地 


命令 说 明 : 命令 各 字段 含义 类 似 ，root 是 远程 服务 器 上 的 具有 权限 的 账号 ，@ 后 是 远 
程 服务 器 的 地 址 ，“:” 后 是 要 复制 的 文件 ， 最 后 的 /root 是 复制 文件 到 本 机 的 位 置 。 

命令 执行 完毕 ， 使 用 “ls -1” 命 令 查看 文件 是 否 复制 成 功 。 

2. 使 用 wget 命令 下 载 网 络 文件 

wget 是 一 个 从 网 络 上 自动 下 载 文件 的 自由 工具 。 它 支持 HTTP、HTTPS 和 FTP 协 
议 ， 可 以 使 用 HTTP 代理 。 

所 谓 的 自动 下 载 是 指 ，wget 可 以 在 用 户 退 出 系统 之 后 在 后 台 执 行 。 这 意味 着 你 可 以 登 
录 系统 ， 启 动 一 个 wget 下 载 任务 ， 然 后 退出 系统 ，wget 将 在 后 台 执 行 ， 直 到 任务 完成 。 

wget 是 在 Linux 下 开发 的 开放 源 代码 的 软件 ， 它 支持 断 点 续 传 功能 ; 也 同时 支持 FTP 
和 HTTP 下 载 方式 ; 支持 代理 服务 器 ; 设置 方便 简单 :程序 小 ， 而 且 完 全 免费 。 

wget 基本 的 语法 是 : 


#wget ”参数 列表 URL 
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度 ， 





例 1， 使 用 wget 下 载 单个 文件 : 

#wget http://linux.linuxidc.com/linuxconf/download.php?file=#### 

在 下 载 的 过 程 中 会 显示 进度 条 ， 包 含 (下 载 完成 百分比 ， 已 经 下 载 的 字 节 ， 当 前 下 载 速 
剩余 下 载 时 间 )。 

可 以 使 用 wget -O 下 载 并 以 不 同 的 文件 名 保存 。wget 默认 会 以 最 后 一 个 符合 “/” 的 后 








[ 
式 











示 


看 


如 


/eo\. 


的 字符 来 命名 ， 对 于 动态 链接 的 下 载 ， 通 常 文件 名 会 不 正确 。 即 使 下 载 的 文件 是 zip 格 
， 它 仍然 以 download php? 拜 刑 # 命 名 。 为 了 解决 这 个 问题 ， 我 们 可 以 使 用 参数 -O 来 指定 
个 文件 名 : 

#wget -0O test1.zip 目标 URL 地 址 
当 文 件 特别 大 或 者 网 络 特别 慢 的 时 候 ， 往 往 一 个 文件 还 没有 下 载 完 ， 连 接 就 已 经 被 切 
， 此 时 就 需要 断 点 续 传 。 

wget 的 断 点 续 传 是 自动 的 ， 只 需要 使 用 -c 参数 。 

例 2， 使 用 “wget -c” 断 点 续 传 : 

#wget -c http:// 主 机 地 址 /目标 文件 

使 用 断 点 续 传 要 求 服务 器 支持 断 点 续 传 。 

-t 参数 表示 重 试 次 数 ， 例 如 需要 重 试 100 次 ， 那 么 就 写 -t 100， 如 果 设 成 -t+ 0， 那 么 表 
无 穷 次 重 试 ， 直 到 连接 成 功 。 

#wget -c -t 0 http:// 主 机 地 址 /目标 文件 

-T 参数 表示 超时 等 待 时 间 ， 例 如 -T 120， 表 示 等 待 120 秒 连接 不 上 就 算 超时 。 

当下 载 非常 大 的 文件 的 时 候 ， 因 为 耗 时 较 长 ， 可 以 使 用 参数 -b 进行 后 台 下 载 。 

例 3， 使 用 wget -b 在 后 台 下 载 : 

#wget -b http:// 主 机 地 址 /目标 文件 

当 进 程 在 后 台 运 行 时 ， 前 台 还 可 以 继续 执行 其 他 的 命令 。 

当然 ， 因 为 进程 在 后 台 执 行 ， 所 以 你 看 不 到 下 载 的 进度 ， 此 时 需要 使 用 以 下 命令 来 察 
下 载 进度 : 

#tail -f wget-log 

如 果 不 希 望 下 载 信息 直接 显示 在 终端 ， 而 是 存放 在 一 个 日 志文 件 ， 可 以 使 用 此 命令 。 

例 4， 使 用 wget -o 把 下 载 信息 存 入 日 志文 件 : 

#wget -o download.1og URL 

如 果 有 多 个 文件 需要 下 载 ， 那 么 可 以 生成 一 个 文件 ， 把 每 个 文件 的 URL 写 一行 ， 例 
生成 文件 download.txt， 然 后 执行 命令 wget -i 文件 名 下 载 。 

例 5， 批 量 下 载 : 


#vi download.txt 
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#wget -i download.txt 


这 样 ， 就 会 把 download.txt 里 面 列 出 的 每 个 URL 都 下 载 下 来 。 


上 机 实 训 : Linux 系统 的 安装 和 基本 配置 


本 实 训 步 又 自行 设计 ， 抓 图 记录 每 个 操作 步骤 ， 并 对 结果 进行 简要 分 析 ， 对 遇 到 的 故 
障 和 解决 方法 进行 记录 并 分 享 。 
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可 参照 教材 完成 实 训 步 又 设计 。 
为 每 一 实 训 任 务 单独 编写 实 训 报 告 并 提交 。 


实 训 任务 列表 


任务 一 : 配置 虚拟 机 。 

任务 二 : 在 虚拟 机 上 安装 和 使 用 CentOS 7 Linux。 
任务 三 : 文件 管理 。 

任务 四 : 基本 配置 管理 。 














实 训 步 又 设计 示例 


任务 一 : 配置 虚拟 机 。 


创建 和 管理 虚拟 机 

查看 当前 主机 的 设备 信息 。 

CPU 信息 : CPU 的 型 号 、 主 频 、 几 个 核 等 。 
内 存 信息 : 内 存 型 号 、 大 小 等 。 

硬盘 信息 : 硬盘 型 号 、 总 大 小 、 分 区 情况 等 。 
显卡 信息 : 显卡 型 号 、 显 存 大 小 等 。 

网 卡 信息 : 网 卡 型 号 、 硬 件 地 址 等 。 

查看 当前 主机 资源 使 用 情况 。 
CPU 使 用 情况 。 

内 存 使 用 情况 。 

硬盘 使 用 情况 。 

确定 可 分 配给 虚拟 机 使 用 的 资源 

内 存 。 

总 内 存 大 小 。 

空闲 内 存 大 小 。 

要 为 当前 主机 保留 使 用 的 大 小 。 

可 分 配给 虚拟 机 的 内 存 上 限 。 

磁盘 总 容量 。 

己 使 用 容量 。 
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空闲 空间 大 小 。 

可 分 配给 虚拟 机 使 用 的 容量 空间 上 限 。 
当前 主机 的 网 络 配置 信息 。 
网 络 设备 名 称 。 

网 络 设备 型 号 。 

网 络 设备 他 地址 。 

网 络 设备 子 网 掩 码 。 
默认 网 关 设 置 。 

DNS 服务 器 设置 。 
建立 虚拟 机 创建 计划 
需要 几 个 虚拟 机 。 
虚拟 机 的 资源 设置 。 
虚拟 机 的 网 络 规划 。 

创建 虚拟 机 ( 略 ) 





这 








巩 目 二 
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项 目 导 入 


小 刘 作 为 某 公 司 的 网 络 管理 员 ， 其 中 一 项 工作 任务 是 负责 创建 和 维护 公司 的 网 站 。 在 
上 一 个 项 目 中 ， 小 刘 完 成 了 服务 器 的 安装 工作 。 接 下 来 ， 他 需要 在 服务 器 上 安装 Web 服务 
器 软件 ， 来 作为 公司 对 外 网 站 的 发 布 平 台 。 除 此 而 外 ， 公 司 还 需要 为 员工 提供 企业 办 公 自 
动 化 平台 (Web 版 ， 内 谱 电 子 邮 件 系统 和 FTP 文件 系统 ) 和 企业 私有 云 存储 平台 (Web 版 )。 


项 目 分 析 


为 了 满足 不 同 的 业务 需求 ， 需 要 在 操作 系统 上 配置 不 同 的 应 用 服务 器 。 

大 多 数 企业 都 需要 建设 和 发 布 管理 企业 的 网 站 ， 网 站 需要 发 布 在 Web 服务 器 上 ， 所 以 
搭建 自己 的 Web 服务 器 是 每 个 公司 必需 的 业务 内 容 。 

企业 网 站 是 企业 的 门面 ， 既 是 对 外 宣传 企业 的 必需 ， 很 多 时 候 还 会 承载 客户 交流 、 网 
上 电子 商务 等 功能 ， 对 企业 生存 和 发 展 来 说 ， 非 常 重要 。 

另 一 方面 ， 企 业内 部 办 公 基 本 已 经 电子 化 和 Web 化 。 多 数 企 业 的 内 部 办 公 系 统 都 依托 
Web 平台 建立 和 开发 。 

在 公司 的 业务 往来 中 ， 电 子 邮 件 是 必 不 可 少 的 业务 工具 。 虽 然 网 络 上 有 各 种 不 同类 型 
的 电子 邮箱 可 以 申请 ， 但 出 于 安全 性 、 可 靠 性 、 经 济 性 等 原因 ， 很 多 企业 会 建立 自己 的 电 
子 邮 件 服务 器 来 向 员工 提供 邮件 服务 。 

在 日 常 工作 中 ， 通 知 下 达 ， 文 件 转 发 ， 报 告 提交 等 都 涉及 大 量 的 文件 交流 。 企 业 需 要 
提供 文件 交流 共享 平台 来 实现 日 常 办公 。 很 多 办 公 商 业 软 件 可 以 满足 企业 的 日 常 办 公 需 
求 ， 即 使 如 此 ， 企 业 仍 然 有 足够 的 理由 建立 自己 的 文件 服务 器 ， 来 作为 必要 的 补充 。 

现代 企业 办 公 自 动 化 平台 基本 上 集成 了 各 种 必 备 的 要 素 ， 采 用 模块 化 机 制 开发 ， 把 电 
子 邮 件 、FTP 服务 都 容纳 到 自动 化 平台 内 部 ， 无 缝 集 成 ， 构 建 了 全 Web 化 的 统一 平台 。 

就 像 眼睛 满足 视觉 需要 、 鼻 子 满 足 嗅觉 需要 、 耳 采 满 足 听觉 需 要 一 样 ， 各 个 器 官 各 负 
其 责 ， 协 同 工 作 。 对 于 企业 来 说 ， 对 外 网 站 提供 信息 发 布 、 客 户 交 流 、 业 务 门户 、 企 业 形 
象 等 多 种 功能 ， 是 必需 的 要 素 存 在 ; 电子 邮件 作为 稳妥 可 靠 的 交流 手段 ， 是 企业 主要 的 交 
流 渠 道 之 一 ; 文件 传输 作为 另 一 种 常用 服务 ， 不 可 或 缺 ， 在 多 方面 发 挥 作用 。 每 个 企业 都 
需要 这 些 服务 来 各 负 其 责 ， 协 同 工 作 ， 一 个 都 不 能 少 。 另 外 ， 作 为 企业 网 络 的 基础 服务 ， 
DHCP 服务 和 DNS 服务 通常 也 是 需要 提供 的 。 

本 项 目 首先 简要 介绍 服务 器 的 基本 工作 原理 、 常 用 服务 及 使 用 的 端口 地 址 ， 然 后 以 
Apache 服务 器 为 核心 ， 对 LAMP 应 用 平台 的 安装 、 配 置 、 使 用 进行 介绍 。 


能 力 目标 


掌握 DHCP 服务 的 配置 和 使 用 。 
掌握 DNS 服务 的 配置 和 使 用 。 
熟练 掌握 Web 服务 器 的 配置 和 使 用 。 
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项 目 二 常用 服务 的 配置 和 使 用 属 天 


知识 目标 

了 解 服务 器 的 工作 原理 。 

了 解 常见 的 网 络 服务 和 端口 。 

掌握 服务 器 软件 的 安装 和 管理 的 方法 。 
能 够 根据 需要 对 服务 器 进行 合理 的 配置 。 


任务 一 : 理解 服务 器 和 服务 器 软件 


在 这 一 部 分 ， 我 们 要 关注 三 个 问题 : 服务 器 是 什么 ? 为 什么 要 使 用 服务 器 ? 怎样 为 服 
务 器 选择 要 提供 的 服务 ? 


知识 储备 
2.1 了 解 服务 器 


服务 器 也 是 计算 机 ，PC 是 通用 计算 机 ， 服 务 器 是 专用 计算 机 。 
服务 器 是 提供 服务 的 计算 机 ， 通 常 需要 安装 服务 器 专用 的 操作 系统 。 
服务 器 采用 RASUM 设计 标准 : 可 靠 性 、 可 用 性 、 可 维护 性 、 易 用 性 、 可 管理 性 。 


2.1.1 服务 器 是 什么 


要 充分 了 解 服务 器 的 含义 ， 我 们 需要 从 两 个 方面 来 进行 解析 。 

从 物理 上 看 ， 服 务 器 首先 是 一 台 计 算 机 ， 由 CPU、 内存、 主板、 硬盘 等 部 件 构成 ， 就 
像 我 们 熟悉 的 个 人 电脑 (Personal Computer，PC) 一 样 。 与 个 人 电脑 的 用 途 不 同 ， 服 务 器 的 
设计 目的 是 为 海量 用 户 提供 全 天 候 的 网 络 服务 ， 所 以 在 稳定 性 、 可 靠 性 、 安 全 性 等 方面 有 
强大 的 优势 ， 属 于 专用 领域 强化 计算 机 ， 如 图 2-1 所 示 。 我 们 可 以 使 用 PC 充当 服务 器 ， 
但 是 在 专业 领域 ， 性 能 远 远 不 如 专业 服务 器 优越 。 














2-1 普通 PC 计算 机 和 服务 器 
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从 功能 上 看 ， 服 务 器 就 是 提供 服务 的 计算 机 。 与 个 人 电脑 的 家 用 娱乐 目的 不 同 ， 服 务 
器 就 像 卖 商 品 的 商场 ， 而 个 人 计算 机 的 角色 类 似 购 买 商品 的 顾客 。 在 服务 器 上 运行 的 功能 
软件 ， 就 是 提供 各 种 不 同类 型 商品 (服务 ) 的 软件 了 。 

对 于 普通 计算 机 而 言 ， 没 有 安装 操作 系统 的 计算 机 被 称 为 “ 裸 机 ”， 只 能 识别 执行 二 
进 制 机 器 指令 。 想 象 一 下 面 对 外 星人 的 感觉 不 下 命令 外 星人 (计算 机 ) 什 么 都 不 会 做 ， 要 
下 命令 ， 你 就 得 学 会 外 星 语言 。 普 通 人 无 法 操作 这 样 的 计算 机 。 

但 安装 了 操作 系统 之 后 ， 通 过 用 户 接口 ， 人 们 就 可 以 操作 计算 机 了 。 用 户 接口 就 像 翻 
译 官 ， 把 你 的 命令 告诉 计算 机 ， 让 计算 机 干 活 ; 活 干 完了 ， 再 向 你 汇报 任务 的 完成 情况 。 
为 了 让 计算 机 完成 更 多 的 工作 ， 在 操作 系统 之 上 ， 我 们 安装 各 种 专业 化 的 软件 来 完成 需要 
的 功能 ， 比 如 我 们 熟悉 的 文字 处 理 软 件 、 浏 览 器 软件 、 媒 体 播放 软件 、 网 络 聊天 软件 等 。 

服务 器 的 工作 原理 和 普通 计算 机 没什么 不 同 。 在 网 络 应 用 架构 中 ， 服 务 器 主要 应 用 于 
数据 库 和 Web 服务 ， 而 PC 主要 应 用 于 桌面 计算 和 网 络 终端 ， 设 计 根 本 出 发 点 的 差异 决定 
了 服务 器 应 该 具备 比 PC 更 可 靠 的 持续 运行 能 力 、 更 强大 的 存储 能 力 和 网 络 通 信和 能 力 、 更 
快捷 的 故障 恢复 功能 和 更 广阔 的 扩展 空间 ， 同 时 ， 对 数据 相当 敏感 的 应 用 还 要 求 服务 器 提 
供 数据 备份 功能 。 而 PC 在 设计 上 则 更 加 重视 人 机 接口 的 易 用 性 、 图 像 和 3D 处 理 能 力 及 
其 他 多 媒体 性 能 。 

由 于 服务 器 的 功能 倾向 与 PC 完全 不 同 ， 所 以 ， 虽 然 拥 有 相同 的 工作 原理 ， 类 似 的 技 
术 ， 但 是 看 起 来 和 使 用 起 来 差异 巨大 。 

在 服务 器 上 ， 通 常 需要 安装 服务 器 专用 的 操作 系统 ， 例 如 我 们 学 习 的 CentOS 。 


2.1.2 ”服务 器 的 五 大 设计 标准 


服务 器 需要 向 互联 网 用 户 提 供 7x24 小 时 不 间断 的 服务 ， 常 常 几 个 月 甚至 几 年 不 关机 
或 重新 启动 。 作 为 计算 机 ， 服 务 器 的 性 能 参数 与 PC 类 似 ， 但 是 由 于 功能 角色 定位 不 同 ， 
因此 ， 衡 量 服务 器 所 采用 的 标准 与 PC 差别 很 大 。 对 于 服务 器 来 说 ， 通 常 采用 RASUM 设 
计 标 准 。 
R: Reliability( 可 靠 性 )。 
A: Availability( 可 用 性 )。 
S: Serviceability( 可 维护 性 )。 
U: Usability 易 用 性 。 
M: Manageability( 可 管理 性 )。 

1. 可 靠 性 

可 靠 性 是 指定 时 间 内 系统 正常 工作 的 概率 。 增 强 可 靠 性 可 以 帮助 避免 、 检 测 和 修复 硬 
件 故 障 。 一 个 可 靠 性 高 的 系统 在 发 生 故 障 时 不 应 该 默默 地 继续 工作 并 交付 结果 。 相 反 ， 它 
应 该 能 自动 检测 错误 ， 更 好 的 情况 是 能 修复 错误 。 例 如 ， 通 过 重 试 操作 修复 间歇 性 错误 ， 
或 者 ， 针 对 无 法 改正 的 错误 ， 隔 离 故障 并 报告 给 其 他 恢复 机 制 (切换 至 元 余 硬件 )。 可 靠 性 
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一 般 通 过 平均 无 故障 时 间 (Mean Time Between Failure，MTBF) 来 衡量 。 

例如 硬盘 ， 假 如 MTBF 高 达 120 万 小 时 ，120 万 小 时 约 为 137 年 ， 这 并 不 能 理解 成 该 
硬盘 每 只 均 能 工作 137 年 不 出 故障 (这 不 可 能 )。 而 是 指 该 硬盘 的 平均 年 故障 率 约 为 
0.7%(1/137)， 一 年 内 ， 平 均 1000 只 硬盘 有 7 只 会 出 故障 。 考 虑 到 硬盘 的 销售 量 ， 每 年 的 
故障 硬盘 数量 其 实 也 不 少 。 

要 知道 ， 电 子 产品 的 寿命 一 般 都 符合 浴盆 曲线 ， 如 图 2-2 所 示 。 可 分 为 三 个 阶段 。 





MD 
失效 率 










规定 的 失效 率 





1 时 间 
耗损 失效 期 


2-2 ”电子 产品 的 浴盆 曲线 


(1) 早期 失效 期 : 由 于 设计 、 原 材料 、 生 产 等 可 能 出 现 的 原因 而 导致 一 个 较 高 失效 率 
的 阶段 ， 也 称 失 效率 递减 阶段 。 
(2) 偶然 失效 期 : 这 一 阶段 产品 失效 率 近 似 一 个 常数 ， 只 有 随机 失效 (偶然 失效 ) 产 
MTBF 即 要 得 到 这 一 阶段 (稳定 期 ) 的 寿命 。 
(3) 耗损 失效 期 : 硬件 故障 期 ， 产 品 这 时 已 达到 设计 寿命 ， 进 入 报废 阶段 。 
MTBF 是 用 来 度量 偶然 失效 期 的 ， 所 以 ， 数 据 看 起 来 比 我 们 想象 的 高 是 很 正常 的 。 


2. 可 用 性 


可 用 性 是 指 系统 的 有 效 可 用 运行 时 间 ， 代 表 系 统 的 可 用 性 程度 。 对 于 服务 器 而 言 ， 一 
个 非常 重要 的 方面 就 是 它 的 “可 用 性 ”， 即 所 选 服务 器 能 满足 长 期 稳定 工作 的 要 求 ， 不 能 
经 常 出 问题 。 
因为 服务 器 所 面 对 的 是 整个 网 络 的 用 户 ， 而 不 是 单个 用 户 ， 在 大 中 型 企业 中 ， 通 常 要 
求 服务 器 是 永 不 中 断 的 。 在 一 些 特殊 应 用 领域 ， 即 使 没有 用 户 使 用 ， 有 些 服务 器 也 得 不 间 
断 地 工作 ， 因 为 它 必须 持续 地 为 用 户 提供 连接 服务 ， 而 不 管 是 在 上 班 ， 还 是 下 班 ， 也 不 管 
是 工作 日 ， 还 是 休息 、 节 假日 。 这 就 是 要 求 服务 器 必须 具备 极 高 的 稳定 性 的 根本 原因 。 
可 用 性 的 度量 方式 是 工作 时 间 比 总 时 间 ， 一 般 用 百分比 来 表示 ， 例 如 ， 我 们 常 说 的 
99.999%6(5 个 9)。 
通过 表 2-1 中 的 计算 可 以 看 出 ， 一 个 9 和 两 个 9 分 别 表示 一 年 时 间 内 业务 可 能 中 断 的 
时 间 是 36.5 天 、3.65 天 ， 这 种 级 别 的 可 靠 性 ， 企 业 一 般 是 无 法 接受 的 ， 而 6 个 9 则 表示 一 
年 内 业务 中 断 时 间 最 多 是 31 秒 ， 这 个 级 别 的 可 靠 性 并 非 实现 不 了 ， 但 是 要 做 到 从 5 个 9 


(en. 


生 
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到 6 个 9 的 可 靠 性 提升 的 话 ， 需 要 付出 非常 大 的 成 本 ， 性 价 比 不 高 ， 所 以 评价 可 用 性 都 只 
谈 3~5 个 9。 
表 2-1 可 用 性 标准 

















1 个 9 (1-90%)x365=36.5 天 

2 个 9 (1-99%)x365=3.65 天 

sky (1-99.9%)x365x24=8.76 小 时 ， 表 示 该 软件 系统 在 连续 运行 1 年 时 间 里 最 多 可 能 的 业务 中 
断 时 间 是 8.76 小 时 (526 分 钟 ) 

po (1-99.99%)x365x24=0.876 小 时 =52.6 分 钟 ， 表 示 该 软件 系统 在 连续 运行 1 年 时 间 里 最 多 
可 能 的 业务 中 断 时 间 是 52.6 分 钟 

(1-99.9999%%)x365x24x60=5.26 分 钟 ， 表 示 该 软件 系统 在 连续 运行 1 年 时 间 里 最 多 可 能 的 
业务 中 断 时 间 是 5.26 分 钟 

6 个 9 (1-99.9999%)x365x24x60x60=31 秒 (0.526 分 钟 ) 


理想 的 情况 下 ， 服 务 器 要 7x24 小 时 不 间断 地 工作 。 对 于 这 些 服务 器 来 说 ， 也 许 真正 
工作 开机 的 次 数 只 有 一 次 ， 那 就 是 它 刚 买 回 全 面 安装 配置 好 后 投入 正式 使 用 的 那 一 次 ， 此 
后 ， 它 不 间断 地 工作 ， 一 直到 彻底 报废 。 如 果 动 不 动 就 出 毛病 ， 则 网 络 不 可 能 保持 长 久 正 
常 运作 。 为 了 确保 服务 器 具有 高 的 可 用 性 ， 除 了 要 求 各 配件 质量 过 关外 ， 还 可 采取 必要 的 
技术 和 配置 措施 ， 如 硬件 元 余 、 热 插 拔 、 在 线 诊断 等 。 

我 们 经 常会 听 到 高 可 用 性 的 系统 (3~5 个 9)， 这 样 的 系统 不 仅 在 一 年 中 可 能 只 有 几 分 钟 
的 停机 时 间 。 而 且 ， 高 可 用 系统 通常 可 以 在 发 生 故 障 后 继续 运行 ， 其 方式 可 能 是 禁用 故障 
部 分 ， 虽 然 系统 性 能 可 能 会 有 一 定 降低 ， 但 保证 了 整个 系统 的 可 用 性 。 

元 余 和 热 插 拔 对 于 高 可 用 性 系统 基本 是 必 备 的 技术 。 硬 件 元 余 技 术 指 对 重要 部 件 配置 
两 个 以 上 ， 这 可 以 确保 当 一 个 设备 故障 时 ， 还 有 其 他 设备 能 够 继续 提供 服务 ， 保 证 服务 不 
间断 ， 热 插 拔 技术 指 在 不 断 电 关机 的 情况 下 ， 蔡 换 服 务 器 支持 热 插 拔 的 部 件 。 以 防止 此 元 
余部 件 全 部 损坏 ， 造 成 系统 瘫痪 。 

在 有 些 情 况 下 ， 比 如 银行 和 证 券 的 交易 系统 ， 系 统 的 高 可 用 性 是 相当 有 价值 的 。 


3. 可 维护 性 


可 维护 性 (Serviceability) 是 指 系统 发 生 故 障 时 ， 检 查 和 维修 的 便利 程度 。 服 务 器 需要 不 
间断 地 持续 工作 ， 但 再 好 的 产品 都 有 可 能 出 现 故障 ， 拿 人 们 常 说 的 一 句 话 来 说 就 是 : 不 是 
不 知道 它 可 能 坏 ， 而 是 不 知道 它 何 时 坏 。 服 务 器 虽然 在 稳定 性 、 可 靠 性 方面 比 普通 计算 机 
好 得 多 ， 也 应 有 必要 的 避免 出 错 的 措施 ， 以 及 时 发 现 问题 ， 而 且 出 了 故障 也 能 及 时 得 到 维 
护 。 这 不 仅 可 减少 服务 器 出 错 的 机 会 ， 同 时 还 可 大 大 提高 服务 器 维护 的 效率 。 

系统 的 修复 时 间 越 长 ， 那 么 其 可 用 性 必然 随 之 降低 。 可 维护 性 包括 系统 出 现 故障 时 快 
速 诊断 故障 的 难 易 程度 。 早 期 的 报错 检查 能 有 效 减 少 或 避免 系统 宕 机 时 间 。 例 如 ， 一 些 企 
业 级 系统 发 生 故 障 时 ， 可 在 无 须 人 工 干 预 的 情况 下 自动 调用 服务 中 心 ， 让 设备 厂商 知晓 故 
障 并 进行 诊断 、 分 析 和 解决 。 


.ee\. 

















项 目 二 常用 服务 的 配置 和 使 用 属 国有 


4. 易 使 用 性 


易 使 用 性 (Usability) 是 指 人 类 对 系统 的 易学 和 易 用 程度 。 易 使 用 性 设计 的 重点 在 于 让 系 
统 或 产品 的 设计 能 够 符合 使 用 者 的 习惯 与 需求 。 服 务 器 的 易 使 用 性 ， 主 要 体现 在 服务 器 是 
不 是 容易 操作 、 用 户 导航 系统 是 不 是 完善 、 机 箱 设计 是 不 是 人 性 化 、 有 没有 关键 恢复 功 
能 、 是 否 有 操作 系统 备份 ， 以 及 有 没有 足够 的 培训 支持 等 方面 。 

对 于 服务 器 来 说 ， 它 的 用 户主 要 是 系统 管理 员 。 在 服务 器 设计 中 ， 我 们 常见 到 的 免 工 
有 具 拆卸 设计 ; 可 以 热 插 拔 的 电源 模块 、 硬 盘 模 块 等 ;前 端面 板 的 可 在 绿色 、 琥 珀 色 和 红色 
之 间 变 换 的 LED 系统 状态 标识 灯 等 ， 这 些 都 是 服务 器 在 易 用 性 方面 的 设计 和 实现 。 

服务 器 的 功能 相对 于 PC 来 说 复杂 许多 ， 不 仅 指 其 硬件 配置 ， 更 多 的 是 指 其 软件 系统 
配置 。 服 务 器 要 实现 如 此 多 的 功能 ， 没 有 全 面 的 软件 支持 是 无 法 想象 的 。 但 是 软件 系统 一 
多 ， 又 可 能 造成 服务 器 的 使 用 性 能 下 降 ， 增 大 管理 难度 。 

软件 的 易 使 用 性 也 是 非常 重要 的 一 个 衡量 标准 ， 因 为 大 多 数 软件 都 是 人 在 使 用 。 

易 用 性 通常 包含 下 列 元 素 : 可 学 习性 (Learmability)、 效 率 (Efficiency)、 可 记忆 性 
(Memorability)、 很 少 出 现 严 重 错误 (Errors) 和 满意 度 (Satisfaction)。 

5. 易 管理 性 

易 管 理性 (Manageability) 是 指 系 统 在 运行 过 程 中 是 否 便于 管理 的 程度 。 良 好 的 易 管 理 
性 可 以 有 效 地 减少 系统 的 管理 和 维护 成 本 。 

事实 上 ， 高 素质 的 管理 者 严重 稀缺 ， 很 难 获得 。 中 小 企业 通常 会 考虑 把 管理 任务 外 包 
给 专业 公司 ， 因 为 很 难 招 聘 到 合适 的 人 才 来 管理 自己 的 系统 。 为 了 降低 管理 难度 ， 服 务 器 
的 易 管 理性 是 很 重要 的 。 比 如 ， 服 务 器 中 通常 所 设计 的 可 通过 远程 管理 来 实现 服务 器 的 远 
程 管理 ， 通 过 智能 平台 管理 接口 来 实现 远程 对 服务 器 的 物理 健康 特征 的 监控 ， 包 括 温度 、 
电压 、 风 扇 工 作 状 态 、 电 源 状 态 等 。 

服务 器 的 易 管 理性 还 体现 在 服务 器 有 没有 智能 管理 系统 ， 有 没有 自动 报警 功能 ， 是 不 
是 有 独立 于 系统 的 管理 系统 等 方面 。 有 了 方便 的 工具 ， 管 理 员 才能 轻松 管理 ， 高 效 工 作 。 


2.2 ”服务 器 的 简单 分 类 
2.2.1 从 外 形 上 分 类 服务 器 


























虽然 服务 器 也 是 计算 机 ， 但 看 起 来 和 我 们 熟悉 的 PC 感觉 差异 还 是 很 大 的 。 从 外 形 上 
分 ， 服 务 器 可 以 分 为 机 架 式 服务 器 、 刀 片 式 服务 器 、 塔 式 服务 器 、 机 柜 式 服务 器 等 。 


1. 机 架 式 服务 器 


机 架 式 服务 器 (如 图 2-3 所 示 ) 安 装 在 标 i 


准 的 19 英寸 机 柜 里 面 。 机 架 式 服务 器 的 外 
形 看 起 来 扁 而 长 ， 看 起 来 类 似 交换 机 。 图 2-3 机 架 式 服务 器 
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相 比 不 少 企业 的 自 建 机 房 ， 大 型 专业 信息 中 心 更 加 正规 和 专业 化 ， 会 统一 部 署 和 管理 
大 量 的 服务 器 资源 。 大 型 信息 中 心 通常 设 有 严密 的 保安 措施 、 良 好 的 温 湿度 控制 系统 、 多 
重 备份 的 供电 系统 ， 机 房 的 总 体 造价 十 分 昂贵 。 对 于 专用 机 房 来 说 ， 如 何在 有 限 的 空间 内 
部 署 更 多 的 服务 器 ， 直 接 关 系 到 企业 的 服务 成 本 。 

对 于 专业 机 房 ， 选 择 服务 器 时 首先 要 考虑 服务 器 的 体积 、 功 耗 、 发 热量 等 物理 参数 ， 
通常 会 选用 机 架 式 服务 器 。 

机 架 式 服务 器 也 有 多 种 规格 ， 例 如 1U(4.45cm 高 )、2U、4U、6U、8U 等 。 通 常 1U 的 
机 架 式 服务 器 最 节省 空间 ， 但 性 能 和 可 扩展 性 较 差 ， 适 合 一 些 业务 相对 固定 的 使 用 领域 。 
4U 以 上 的 产品 性 能 较 高 ， 可 扩展 性 好 ， 一 般 支 持 4 个 以 上 的 高 性 能 处 理 器 和 大 量 的 标准 
热 插 拔 部 件 ， 管 理 也 十 分 方便 ， 厂 商 通常 会 提供 相应 的 管理 和 监控 工具 ， 适 合 大 访问 量 的 
关键 应 用 ， 但 体积 较 大 ， 空 间 利 用 率 不 高 。 


2. 刀片 式 服务 器 


刀片 式 服 务 器 (如 图 2-4 所 示 ) 是 指 在 标准 高 度 的 机 架 式 机 箱 
内 可 插 装 多 个 卡 式 的 服务 器 单元 ， 实 现 高 可 用 和 高 密度 。 每 一 
块 “ 刀 片 ”实际 上 就 是 一 块 系统 主板 。 它 们 可 以 通过 “ 板 载 ” 
硬盘 启动 自己 的 操作 系统 ， 类 似 于 一 个 个 独立 的 服务 器 ， 在 这 
种 模式 下 ， 每 一 块 母 板 运行 自己 的 系统 ， 服 务 于 指定 的 不 同 用 
户 群 ， 相 互 之 间 没 有 关联 。 

相 比 机 架 式 服务 器 和 机 柜 式 服务 器 ， 单 片 母 板 的 性 能 较 。 图 24 刀片 式 服务 器 
低 。 不 过 ， 管 理 员 可 以 使 用 系统 软件 ， 将 这 些 母 板 集合 成 一 个 
服务 器 集群 。 在 集群 模式 下 ， 所 有 的 母 板 可 以 连接 起 来 提供 高 速 的 网 络 环境 ， 并 同时 共享 
资源 ， 为 相同 的 用 户 群 服务 。 通 过 在 集群 中 插入 新 的 “刀片 ”， 就 可 以 提高 整体 性 能 。 而 
由 于 每 块 “刀片 ”都 是 热 插 拔 的 ， 所 以 ， 系 统 可 以 轻松 地 进行 蔡 换 ， 并 且 将 维护 时 间 减 少 
到 最 小 。 


3. 塔 式 服务 器 


塔 式 服务 器 (如 图 2-5 所 示 ) 应 该 是 大 家 最 容易 理解 的 一 种 

服务 器 结构 类 型 ， 因 为 它 的 外 形 以 及 结构 都 跟 我 们 平时 使 用 的 
立 式 PC 差不多 ， 当 然 ， 由 于 服务 器 的 主板 扩展 性 较 强 、 插 槽 
也 多 出 一 些 ， 所 以 个 头 比 普通 主板 大 一 些 ， 因 此 塔 式 服务 器 的 
主机 机 箱 也 比 标准 的 PC 机 箱 要 大 ， 一 般 都 会 预 留 足够 的 内 部 
空间 ， 以 便 日 后 进行 硬盘 和 电源 的 元 余 扩展 。 
由 于 塔 式 服 务 器 的 机 箱 比较 大 ， 服 务 器 的 配置 也 可 以 很 
高 ， 元 余 扩展 更 可 以 很 齐备 ， 所 以 它 的 应 用 范围 非常 广 ， 应 该 
说 使 用 率 最 高 的 一 种 服务 器 就 是 塔 式 服 务 器 。 我 们 平时 常 说 的 图 2-5 塔 式 服务 器 
通用 服务 器 一 般 都 是 塔 式 服务 器 ， 它 可 以 集 多 种 常见 的 服务 应 
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用 于 一 身 ， 不 管 是 速度 应 用 还 是 存储 应 用 ， 都 可 以 使 用 塔 式 服务 器 来 解决 。 
4. 机 柜 式 服务 器 


在 一 些 高 档 企业 服务 器 中 ， 由 于 内 部 结构 复杂 ， 内 部 设备 
较 多 ， 有 的 还 具有 许多 不 同 的 设备 单元 或 几 个 服务 器 都 放 在 一 
个 机 柜 中 ， 这 种 服务 器 就 是 机 柜 式 服务 器 ， 如 图 2-6 所 示 。 机 
柜 式 通常 由 机 架 式 、 刀 片 式 服 务 器 再 加 上 其 他 设备 组 合 而 成 。 


2.2.2 ”从 应 用 规模 分 类 图 2-6 机柜 式 服务 器 











按 应 用 规模 分 类 ， 是 服务 器 最 为 普遍 的 一 种 划分 方法 ， 它 主要 根据 企业 应 用 规模 来 进 
行 服务 器 的 划分 。 按 这 种 划分 方法 ， 服 务 器 可 分 为 : 入 门 级 服务 器 、 工 作 组 级 服务 器 、 部 
门 级 服务 器 、 企 业 级 服务 器 。 


1. 入 门 级 服务 器 (应 用 规模 夺 20) 


这 类 服务 器 是 最 基础 的 一 类 服务 器 ， 也 是 最 低档 的 服务 器 。 许 多 入 门 级 服务 器 与 PC 
的 配置 差不多 ， 或 者 就 是 使 用 高 性 能 的 品牌 PC。 这 类 服务 器 所 包含 的 服务 器 特性 并 不 是 
很 多 ， 通 常 只 具备 以 下 几 方 面 的 特性 。 

(1) 有 一 些 基本 硬件 的 元 余 ， 如 硬盘 、 电 源 、 风 扇 等 。 

(2) 通常 采用 SCSI 接口 硬盘 ， 也 有 采用 SATA 串 行 接口 的 。 

(3) 部 分 部 件 支持 热 插 拔 ， 如 硬盘 和 内 存 等 。 

(4) 通常 只 有 一 个 CPU。 

(5) 内 存 容 量 最 大 支持 16GB。 

图 2-7 是 一 家 酒店 的 网 络 拓扑 图 ， 由 于 业务 计算 机 数量 只 有 几 台 ， 业 务 相 对 单一 ， 应 
用 规模 也 小 ， 因 此 业务 平台 使 用 了 入 门 级 服务 器 (左上 区 域 )， 图 示 中 心 区 域 是 酒店 无 线 网 
络 控制 器 ， 作 为 酒店 网 络 的 中 心 设备 ， 向 下 通过 交换 机 连接 业务 计算 机 以 及 无 线 接 入 设 
备 ， 提 供 点 餐 、 结 算 等 服务 。 右 上 区 域 是 网 络 接 入 ， 提 供 上 网 功能 。 

入 门 级 服务 器 所 连 的 终端 比较 有 限 (通常 为 20 台 左 右 )， 在 稳定 性 、 可 扩展 性 以 及 容错 
抑 余 性 能 方面 较 差 ， 仅 适用 于 没有 大 型 数据 库 数据 交换 ， 日 常 工作 网 络 流量 不 大 ， 无 需 长 
期 不 间断 开机 的 小 型 企业 。 


2. 工作 组 级 服务 器 (应 用 规模 和 50) 


工作 组 级 服务 器 的 应 用 规模 ， 通 常 是 连接 一 个 工作 组 (50 台 左 右 ) 规 模 的 用 户 。 因 为 网 
络 规模 较 小 ， 服 务 器 的 稳定 性 要 求 也 不 算 高 ， 在 其 他 性 能 方面 的 要 求 也 相应 要 低 一 些 。 工 
作 组 服务 器 具有 以 下 几 方 面 的 主要 特点 。 

(1) 通常 仅 支持 单 或 双 CPU 结构 的 应 用 服务 器 。 

(2) 可 支持 大 容量 的 ECC 内 存 和 增强 服务 器 管理 功能 的 SM 总 线 。 

(3) 功能 较 全 面 、 可 管理 性 强 ， 且 易于 维护 。 
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2-7 ”入 门 级 网 络 拓扑 


(4) 采用 Intel 服务 器 CPU 和 Windows 网 络 操 作 系 统 ， 但 也 有 一 部 分 是 采用 Linux 系 
列 操作 系统 的 。 

(5) 可 以 满足 中 小 型 网 络 用 户 的 数据 处 理 、 文 件 共 享 、Intemet 接 入 及 简单 数据 库 应 用 

2-8 是 一 家 企业 的 网 络 拓扑 图 ， 企 业 本 身 有 几 十 台 员 工 计算 机 ， 分 属 各 个 部 门 ， 图 
例 右 侧 是 工作 电脑 区 域 ， 由 两 台 交 换 机 进行 联网 ， 由 于 有 多 种 业务 需求 ， 所 以 配置 了 多 台 
工作 组 级 服务 器 ， 图 例 的 左上 部 分 就 是 服务 器 区 。 左 下 连接 互联 网 ， 提 供 上 网 功能 。 





图 2-8 工作 组 级 网 络 拓扑 


工作 组 级 服务 器 较 入 门 级 服务 器 来 说 性 能 有 所 提高 ， 功 能 有 所 增强 ， 有 一 定 的 可 扩展 
性 ， 但 容错 和 元 余 性 能 仍 不 完善 ， 也 不 能 满足 大 型 数据 库 系 统 的 应 用 ， 但 价格 也 比 前 者 贵 
许多 ， 一 般 相 当 于 2~3 台 高 性 能 的 PC 品牌 机 总 价 。 


3. 部 门 级 服务 器 (应 用 规模 三 100) 
这 类 服务 器 是 属于 中 档 服务 器 之 列 ， 一 般 都 是 支持 双 CPU 以 上 的 对 称 处 理 器 结构 ， 
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具备 比较 完全 的 硬件 配置 ， 如 磁盘 阵列 等 。 

部 门 级 服务 器 的 最 大 特点 就 是 ， 除 了 具有 工作 组 服务 器 的 全 部 服务 器 特点 外 ， 还 集成 
了 大 量 的 监测 及 管理 电路 ， 具 有 全 面 的 服务 器 管理 能 力 ， 可 监测 如 温度 、 电 压 、 风 扇 、 机 
箱 等 状态 参数 ， 结 合 标准 服务 器 管理 软件 ， 使 管理 人 员 及 时 了 解 服务 器 的 工作 状况 。 

同时 ， 大 多 数 部 门 级 服务 器 具有 优良 的 系统 扩展 性 ， 可 让 用 户 在 业务 量 迅速 增 大 时 能 
够 及 时 在 线 升级 系统 ， 充 分 保护 了 用 户 的 投资 。 它 是 企业 网 络 中 分 散 的 各 基层 数据 采集 单 
位 与 最 高 层 的 数据 中 心 保持 顺利 连通 的 必要 环节 ， 一 般 为 中 型 企业 的 首选 ， 也 可 用 于 人 金 
融 、 邮 电 等 行业 。 

部 门 级 服务 器 一 般 采 用 IBM、SUN 和 HP 各 自 开 发 的 CPU 芯片 ， 这 类 芯片 一 般 是 
RISC( 精 简 指令 计算 机 ) 结 构 ， 所 采用 的 操作 系统 一 般 是 Unix 系列 操作 系统 ，Linux 也 在 部 
门 级 服务 器 中 得 到 了 广泛 应 用 。 

图 2-9 是 一 家 中 等 规模 的 网 络 公 司 ， 有 接近 百 台 员工 计算 机 ， 右 下 区 域 是 公司 的 业务 
区 ， 由 于 应 用 规模 较 大 ， 计 算 机 数量 较 多 ， 所 以 网 络 拓扑 由 核心 层 和 接 入 层 构建 了 两 级 体 
系 结构 ， 实 现 网 络 连接 与 网 络 管理 。 右 上 区 域 是 服务 器 区 ， 公 司 的 核心 业务 很 重要 ， 所 以 
采用 了 部 门 级 服务 器 ， 并 构建 了 双 机 热 备 ， 以 备 万 一 服务 器 出 现 问题 ， 不 会 导致 业务 中 断 
出 错 ， 业 务 数据 量 非 常 大 ， 所 以 选择 了 外 置 大 存储 设备 。 左 上 区 域 提供 互联 网 接 入 。 














图 2-9 部门 级 网 络 拓扑 


部 门 级 服务 器 可 连接 100 个 左右 的 计算 机 用 户 、 适 用 于 对 处 理 速度 和 系统 可 靠 性 高 一 
些 的 中 小 型 企业 网 络 ， 其 硬件 配置 相对 较 高 ， 其 可 靠 性 比 工作 组 级 服务 器 要 高 一 些 ， 当 然 
其 价格 也 较 高 (通常 为 5 台 左 右 高 性 能 PC 机 价格 总 和 )。 由 于 这 类 服务 器 需要 安装 比较 多 的 
部 件 ， 所 以 机 箱 通常 较 大 ， 有 的 服务 器 会 采用 机 柜 式 。 

4. 企业 级 服务 器 (应 用 规模 三 ? ) 

企业 级 服务 器 属于 高 档 服务 器 行列 ， 一 般 ， 企 业 级 服务 器 最 起 码 是 采用 4 个 以 上 CPU 
的 对 称 处 理 器 结构 ， 有 的 高 达 几 十 个 。 另 外 ， 一 般 还 具有 独立 的 双 PCI 通道 和 内 存 扩展 板 
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设计 ， 具 有 高 内 存 带宽 、 大 容量 热 插 拔 硬盘 和 热 插 拔 电源 、 超 强 的 数据 处 理 能 力 和 群集 性 
能 等 。 

企业 级 服务 器 的 机 箱 就 更 大 了 ， 一 般 为 机 柜 式 的 ， 有 的 还 由 几 个 机 柜 来 组 成 ， 像 大 型 
机 一 样 。 企 业 级 服务 器 产品 除了 具有 部 门 级 服务 器 全 部 服务 器 特性 外 ， 最 大 的 特点 就 是 它 
还 具有 高 度 的 容错 能 力 、 优 良 的 扩展 性 能 、 故 障 预 报警 功能 、 在 线 诊 断 和 RAM、PCI、 
CPU 等 具有 热 插 拔 性 能 。 有 的 企业 级 服务 器 还 引入 了 大 型 计算 机 的 许多 优良 特性 。 这 类 服 
务 器 所 采用 的 芯片 也 都 是 几 大 服务 器 开发 、 生 产 厂 商 自 己 开发 的 独 有 CPU 芯片 ， 所 采用 
的 操作 系统 一 般 也 是 Unix(Solaris) 或 Linux。 

图 2-10 是 一 家 大 学 的 网 络 拓扑 图 。 可 以 看 出 ， 学 校 采 用 了 核心 层 一 汇聚 层 一 接 入 层 的 
三 级 网 络 体系 结构 ， 用 户 计 算 机 数量 几 千 台 ， 应 用 规模 非常 大 ， 而 且 大 学 业务 需求 多 种 多 
样 ， 需 要 大 量 的 服务 器 ， 处 理 多 种 类 别 、 海 量 的 数据 和 业务 ， 所 以 ， 应 该 选择 企业 级 服务 
器 支撑 重要 的 业务 ， 还 有 大 量 的 中 低 端 服务 器 作为 补充 。 此 图 并 没有 标注 服务 器 区 域 和 互 
联网 接 入 区 域 ， 但 看 了 前 面 的 几 张 简 图 后 ， 我 们 也 可 以 类 比 感受 。 











2-10 ”企业 级 网 络 拓扑 


企业 级 服务 器 适合 运行 于 需要 处 理 大量 数 据 、 高 处 理 速度 和 对 可 靠 性 要 求 极 高 的 金 
融 、 证 券 、 交 通 、 邮 电 、 通 信 或 大 型 企业 。 企 业 级 服务 器 用 于 应 用 规模 在 数 百 台 以 上 、 对 
处 理 速度 和 数据 安全 要 求 非常 高 的 大 型 网 络 。 企 业 级 服务 器 的 硬件 配置 最 高 ， 系 统 可 靠 性 
也 最 强 。 
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2.3 常见 服务 与 对 应 端口 


要 提供 什么 样 的 服务 ， 就 需要 什么 功能 的 服务 器 软件 。 

DHCP( 动 态 主机 分 配 协议 ) 服 务 自动 管理 下 地 址 的 分 配 和 回收 。 

域名 服务 (Domain Name Service，DNS) 把 IP 地 址 和 域名 关联 起 来 ， 我 们 才 可 以 正常 使 
用 域名 访问 服务 器 。 

Web 服务 就 是 平常 说 的 网 站 服务 。FTP 服务 用 于 Intemet 上 的 文件 的 双向 传输 。 电 子 
邮件 服务 可 以 收发 电子 邮件 。 每 个 服务 都 有 约定 的 端口 。 

服务 器 上 运行 着 很 多 种 服务 ， 这 些 系统 如 果 和 谐 共存 ， 协 同 工 作 呢 ? 

类 比 现实 ， 似 乎 也 不 难 理解 。 如 果 我 们 去 商场 转 转 ， 想 买 日 常用 品 ， 就 去 超市 区 ; 想 
买 衣物 ， 就 去 衣物 区 ， 想 吃饭 ， 就 去 餐厅 。 我 们 所 需要 的 ， 就 是 方便 的 指示 牌 ， 告 诉 我 们 
要 去 的 地 方 在 哪里 。 

端口 地 址 就 是 服务 在 服务 器 中 的 标识 ， 有 了 它 ， 我 们 就 能 找到 服务 ， 享 受 服务 了 。 服 
务 的 端口 地 址 是 有 默认 约定 的 ， 虽 然 我 们 可 以 进行 改动 ， 但 是 改 了 ， 用 户 就 可 能 找 不 到 这 
个 服务 ， 因 为 他 不 知道 改 成 了 哪个 端口 ， 这 可 能 会 造成 一 些 麻烦 。 


2.3.1 基础 服务 











1. IP 地 址 和 域名 


服务 器 的 设计 目的 就 是 为 了 向 互联 网 用 户 提供 服务 ， 要 提供 什么 样 的 服务 ， 就 需要 什 
么 功能 的 服务 器 软件 。 要 接 入 网 络 ， 首 先 必须 拥有 合法 的 卫 地 址 ， 这 样 网 络 用 户 才 可 以 从 
网 络 找到 服务 器 。 

IP 地 址 用 来 作为 网 络 节点 (用 户 PC、 服 务 器 以 及 所 有 的 联网 设备 ) 的 唯一 标识 ， 就 像 公 
民 身 份 证 一 样 。 它 是 计算 机 或 者 其 他 网 络 设备 在 网 络 上 的 根本 性 的 基础 标识 。 

IP 地 址 是 32 位 二 进 制 数字 ， 使 用 时 用 点 分 十 进 制 来 表示 ， 用 3 个 小 数 点 把 32 位 二 进 
制 数 分 割 成 4 部 分 ， 每 部 分 8 位 ， 然 后 把 8 位 二 进 制 数 用 十 进 制 表示 。 这 样 ， 我 们 看 到 的 
卫 地 址 就 是 由 三 个 小 数 点 分 成 的 四 个 数字 ， 每 个 数字 最 小 是 0， 最 大 是 255。 

例如 点 分 十 进 制 的 瑟 地 址 114.114.114.114。0 是 8 位 二 进 制 数 00000000 的 十 进 制 表 
示 ， 也 是 8 位 二 进 制 数 的 最 小 值 ; 255 是 8 位 二 进 制 数 11111111 的 十 进 制 表 示 ， 也 是 8 位 
二 进 制 数 的 最 大 值 。 

32 位 IP 地 址 由 两 部 分 构成 ， 网 络 地 址 和 主机 地 址 。 网 络 地 址 部 分 是 标识 属于 哪 一 个 
网 络 ， 主 机 地 址 部 分 是 标识 网 络 中 的 哪 一 台 主 机 。 

就 像 身份 证 号 和 人 名 的 关系 ， 卫 地 址 是 一 串 数字 ， 记 忆 起 来 很 不 友好 。 因 此 ， 服 务 器 
也 会 起 个 名 字 ， 见 文 知 意 ， 比 较 友好 ， 也 容易 记忆 。 在 互联 网 中 ， 这 个 名 字 被 称 为 “ 域 
名 ”(Domain Name)， 域 名 也 由 两 部 分 构成 ， 主 机 名 + 所 属 域 。 所 属 域 标识 属于 哪 一 个 组 织 
部 门 ， 主 机 名 标识 哪 一 台 服 务 器 ， 例 如 www.sohu.com， 其 中 sohu.com 是 所 属 域 ，wwvw 是 
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服务 器 的 标识 名 称 。 
2. DHCP 与 DNS 


用 户 的 IP 地 址 通常 是 动态 获取 的 ， 每 次 上 网 都 在 变 ， 但 是 服务 器 的 IP 是 固定 不 变 
的 。 当 用 户 知道 服务 器 的 人 P 后 ， 就 可 以 通过 网 络 来 访问 服务 器 了 ， 就 如 同 拿 着 地 址 来 找 人 
一 样 。 
互联 网 中 有 百 万 以 上 的 服务 器 ， 有 十 亿 以 上 的 计算 机 ， 每 个 设备 都 需要 一 个 IP。 
对 于 每 个 企业 部 门 ， 少 则 几 十 台 主 机 ， 多 则 几 百 几 千 ，ISP 进行 商业 接 入 ， 客 户主 机 
数量 更 是 以 万 计数 ， 对 这 么 多 了 人 P 进行 人 工 管理 ， 效 率 是 很 低 的 ， 这 时 候 我 们 需要 一 个 服务 
来 自动 管理 人 P 地 址 的 分 配 和 回收 ， 这 就 是 DHCP( 动 态 主机 分 配 协 议 ) 服 务 。 

通过 DHCP 服务 ， 每 台 主 机 联网 时 ， 从 DHCP 服务 器 申请 一 个 IP 设置 使 用 ， 使 用 完 
毕 后 ，IP 设置 可 以 回收 ， 再 提供 给 其 他 用 户 使 用 。 只 需要 配置 好 DHCP 服务， 就 再 也 不 用 
操心 卫 设置 的 问题 了 。 

访问 服务 器 需要 的 是 IP 地 址 ， 用 户 平常 使 用 的 是 域名 ， 所 以 需要 一 种 服务 把 IP 地 址 
和 域名 关联 起 来 ， 这 就 是 域名 服务 (Domain Name Service)。 通 过 域名 服务 ， 我 们 才 可 以 正 
常 使 用 域名 访问 服务 器 。 每 次 访问 服务 器 时 ，DNS 服务 会 帮助 我 们 把 域名 解析 成 为 PP 地 
址 ， 然 后 用 他 地 址 去 访问 服务 器 。 


2.3.2 ”常用 服务 








1，Web 服务 


Web 服务 就 是 平常 我 们 说 的 网 站 服务 ， 是 最 为 流行 的 网 络 服务 ， 为 我 们 提供 网 站 发 布 
运行 的 基础 平台 。 我 们 制作 的 网 站 页 面 就 像 店 铺 里 面 的 商品 ， 把 它们 放 到 店铺 里 ， 就 可 以 
进行 销售 了 。Web 服务 就 像 是 店铺 ， 用 户 可 以 自由 访问 里 面 的 网 页 。 

Web 服务 是 “客户 机 /服务 器 ”工作 模式 ， 用 户 使 用 浏览 器 作为 客户 端 来 访问 服务 器 上 
的 网 站 ， 这 种 模式 也 常常 称 为 “浏览 器 /服务 器 ”工作 模式 。 

要 提供 Web 服务 ， 需 要 安装 Web 服务 器 软件 。Linux 环境 下 最 流行 的 Web 服务 器 软 
件 是 Apache Web Server。 


2. FTP 服务 


文件 传输 协议 (File Transfer Protocol，FTP) 用 于 Intermmet 上 的 文件 的 双向 传输 。 支 持 
FTP 协议 的 服务 器 就 是 FTP 服务 器 。 

与 大 多 数 Intemet 服务 一 样 ，FTP 服务 也 是 一 个 客户 机 /服务 器 系统 。 用 户 通 过 一 个 支 
持 FTP 协议 的 客户 机 程序 ， 连 接 到 在 远程 主机 上 的 FTP 服务 器 程序 。 用 户 通过 客户 机 程 
序 向 服务 器 程序 发 出 命令 ， 服 务 器 程序 执行 用 户 所 发 出 的 命令 ， 并 将 执行 的 结果 返回 到 客 
户 机 。 比 如 说 ， 用 户 发 出 一 条 命令 ， 要 求 服务 器 向 用 户 传 送 某 一 个 文件 的 一 份 拷贝 ， 服 务 
器 会 响应 这 条 命令 ， 将 指定 文件 送 到 用 户 的 机 器 上 。 客 户 机 程序 代表 用 户 接收 到 这 个 文 
件 ， 将 其 存放 在 用 户 目 录 中 。 
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3. 电子 邮件 服务 


电子 邮件 在 Intemet 上 发 送 和 接收 的 原理 可 以 很 形象 地 用 我 们 日 常生 活 中 邮寄 信件 或 
包 庄 来 形容 ， 当 我 们 要 寄 一 个 包 庄 时 ， 我 们 首先 要 找到 任何 一 个 有 这 项 业务 的 邮局 或 者 快 
递 公司 ， 在 填写 完 收 件 人 姓名 、 地 址 等 之 后 ， 邮 件 就 寄 出 了 ， 等 到 了 收 件 人 所 在 地 的 邮局 
或 者 快递 公司 ， 收 件 人 就 可 以 在 任何 自己 适合 的 时 间接 收 信件 或 包 庄 。 同 样 地 ， 当 我 们 发 
送 电子 邮件 时 ， 这 封 邮件 是 由 发 信人 的 邮件 服务 器 发 出 ， 并 根据 收 信人 的 地 址 判断 对 方 的 
邮件 接收 服务 器 ， 而 将 这 封 信 发 送 到 该 服务 器 上 ， 收 信人 要 收取 邮件 时 ， 可 以 随时 访问 自 
己 邮件 服务 器 上 的 信箱 即 可 。 


2.3.3 ”服务 与 端口 地 址 








在 服务 器 上 运行 着 多 种 服务 ， 这 些 服务 同时 运行 ， 各 负 其 责 ， 协 作 完 成 系统 功能 。 当 
一 个 请 求 信息 发 送 到 服务 器 时 ， 怎 样 识别 信息 是 送 给 哪 一 个 服务 的 呢 ? 

服务 器 就 像 一 座 办 公 楼 ， 里 面 有 很 多 的 房间 可 以 进入 ， 每 个 房间 都 有 自己 的 编号 。 不 
同 的 服务 也 会 有 自己 的 编号 ， 称 为 “端口 地 址 ”。 网 络 服务 运行 时 会 绑 定 端口 ， 当 用 户 发 
送信 息 时 ， 标 明 是 发 送 给 哪个 端口 ， 系 统 会 自动 转送 给 对 应 的 服务 。 

控制 信息 发 送 和 接收 的 有 两 种 传输 协议 : 传输 控制 协议 (Transmission Control 
Protocol，TCP) 和 用 户 数据 报 协议 (User Datagram Protocol，UDP)， 相 应 地 ， 端 口 也 有 两 
种 ，TCP 端口 和 UDP 端口 ， 每 种 端口 都 在 0~65535 之 间 编 号 。 

TCP 端口 ， 就 是 使 用 传输 控制 协议 进行 传输 时 使 用 的 端口 地 址 ， 需 要 在 客户 端 和 服务 
器 之 间 建 立 可 信任 连接 ， 这 样 可 以 提供 可 靠 的 数据 传输 。 常 见 的 包括 FTP 服务 的 21 端 
口 ，Telnet 服务 的 23 端口 ，SMTP 服务 的 25 端口， 以 及 HTTP 服务 的 80 端口 等 。 可 以 看 
出 ， 远 距离 、 大 量 数据 传输 、 传 输 质 量 难以 保证 的 情况 适合 使 用 TCP 协议 传输 。TCP 协议 
多 用 于 互联 网 传输 ， 因 为 距离 远 ， 传 输 质量 不 可 控 ， 大 量 数 据 传 输出 错 几率 高 。 

UDP 端口 ， 就 是 用 户 数据 报 协 议 端口 ， 不 需要 在 客户 端 和 服务 器 之 间 建 立 连 接 ， 传 输 
可 靠 性 得 不 到 保障 ， 但 是 传输 开销 较 小 。 常 见 的 有 DNS 服务 的 53 端口 ，SNMP( 简 单 网 络 
管理 协议 ) 服 务 的 161 端口 等 。UDP 协议 多 用 于 局 域 网 内 ， 因 为 网 络 传输 质量 好 ， 不 易 出 
错 ， 此 时 UDP 的 简单 和 低 开 销 可 以 提高 传输 效率 和 性 能 。 

常见 的 服务 和 端口 如 表 2-2 所 示 。 

表 2-2 常见 服务 和 端口 
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yay 
2.4 软件 管理 工具 yum 的 使 用 
2.4.1 yum 简介 


在 Linux 环境 下 ， 有 海量 的 软件 支持 。 基 本 上 ， 这 个 世界 上 曾 存在 过 的 各 种 功能 的 软 
件 ， 只 要 还 没 过 时 ， 都 可 以 在 Linux 下 找到 。 为 了 管理 海量 的 软件 ，Linux 形成 了 一 个 系 
列 的 文件 管理 方法 。 

把 相关 功能 的 文件 聚合 成 组 ， 打 包 成 一 个 软件 包 ;， 相 关 软 件 包 聚合 在 一 起 ， 就 形成 了 
一 个 完整 的 功能 软件 ， 把 相关 的 功能 软件 聚合 在 一 起 ， 就 形成 了 一 个 功能 软件 集合 ， 把 很 
多 功能 软件 集合 都 放 在 一 起 ， 就 形成 了 一 个 软件 仓库 。 

一 个 软件 按照 功能 划分 ， 通 常会 分 成 若干 个 软件 包 ， 当 安装 一 个 软件 包 时 ， 需 要 把 它 
所 有 依赖 的 软件 包 先 进行 安装 ， 和 否则 自己 无 法 运行 。 之 后 才 可 以 安装 自己 。 有 时 候 ， 依 赖 
的 软件 包 又 会 需要 其 他 的 支撑 包 ; 有 时 候 ， 要 安装 的 软件 包 运 行 所 需要 的 软件 包 不 存在 ; 
有 时 候 ， 库 文件 版 本 不 对 也 无 法 安装 运行 。 

很 长 时 间 以 来 ， 依 赖 和 软件 版 本 把 Linux 用 户 折 磨 得 焦头烂额 ， 幸 好 ， 现 在 有 了 很 好 
的 解决 方案 。 

现代 Linux 的 软件 管理 的 理念 是 使 用 一 个 中 心 仓库 (repository) 来 管理 一 部 分 甚至 一 个 
完整 发 行 版 (distribution) 的 应 用 程序 间 的 相互 关系 ,根据 分 析出 来 的 软件 依赖 关系 进行 相关 
的 升级 、 安 装 、 删 除 等 操作 ， 减 少 Linux 用 户 一 直 头 痛 的 依赖 (dependencies) 的 问题 。 

yum 是 现在 Linux 下 最 流行 的 软件 管理 工具 之 一 ， 也 是 CentOS 7 的 默认 软件 包 管 理 
器 。yum 可 以 自动 化 地 升级 、 安 装 和 移 除 rpm 包 ， 收 集 tpm 包 的 相关 信息 ， 检 查 依赖 性 
并 自动 提示 用 户 解决 ， 这 就 解决 了 系统 软件 管理 中 遇 到 的 大 问题 。 

常用 的 yum 操作 命令 如 表 2-3 所 示 。 
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表 2-3 yum 的 常用 命令 




















命令 选项 功能 描述 
能 够 在 已 启用 的 软件 包 仓库 中 ， 对 所 有 软件 包 的 名 称 、 描 述 和 概述 进行 
yum search 关键 字 
yum list 列 出 要 查找 的 包 ， 没 有 指定 参数 时 列 出 所 有 包 
yum grouplist 列 出 所 有 软件 包 组 
yum repolist 列 出 所 有 启用 的 软件 仓库 的 ID， 名 称 及 其 包含 的 软件 包 的 数量 
yum info 软件 包 命令 可 查看 一 个 或 多 个 软件 包 的 信息 


yum provides 要 查 的 命令 查看 命令 所 在 的 软件 包 

yum group remove 程序 组 “| 印 载 程序 组 

yum list installed 列 出 所 有 已 安装 的 软件 包 

yum localinstall ~ 从 硬盘 安装 rpm 包 并 使 用 yum 解决 依赖 
例 1， 查 找 net-tools 包 : 


#yum search net-tools 
#yum list |grep net-tools 


例 2， 查 找 nmap 命令 所 在 的 包 : 
#yum provides nmap 

例 3， 查 看 net-tools 包 的 信息 : 
#yum info net-tools 


例 4， 安 装 net-tools 包 : 


#yum install net-tools 


例 S， 撮 载 net-tools 包 : 


#yum remove net-tools 











2.4.2 yum 配置 


yum 可 以 检测 软件 间 的 依赖 性 。 发 布 的 软件 放 到 yum 服务 器 ， 通 过 分 析 这 些 软 件 的 依 
赖 关 系 ， 将 每 个 软件 相关 性 记录 成 列表 。 当 客户 端 有 软件 安装 请 求 时 ，yum 客户 端 在 yum 
服务 器 上 下 载 记录 列表 ， 然 后 通过 列表 信息 与 本 机 已 安装 软件 数据 对 比 ， 明 确 软件 的 依赖 
关系 ， 从 而 能 够 判断 出 哪些 软件 需要 安装 。 

列表 信息 保存 在 yum 客户 端的 /var/cache/yum 中 ， 每 次 yum 启动 都 会 通过 校 验 码 与 
yum 服务 器 同步 更 新 列表 信息 。 

使 用 yum 需要 有 yum 软件 仓库 (yum repositories)， 用 来 存放 软件 列表 信息 和 软件 包 。 
yum 仓库 可 以 是 HITP 站 点 、FTP 站 点 、 本 地 站 点 。 
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yum 仓库 的 路 径 格 式 如 表 2-4 所 示 。 
表 2-4 yum repo 的 路 径 














HTTP 站 点 fip:// 主 机 地 址 或 域名 /PATH/TO/REPO 
FTP 站 点 | httpw/ 主 机 地 址 或 域名 /PATH/TO/REPO 
本 地 站 点 file://PATH/TO/REPO ”( 注 意 是 三 个 /) 





yum 的 全 局 配置 文件 是 /etc/yum.conf， 存 放 对 所 有 仓库 都 适用 的 配置 信息 。 
通常 ， 我 们 会 为 每 一 个 软件 仓库 或 者 相关 的 几 个 仓库 单独 设置 一 个 配置 文件 ， 名 称 为 
“###sTepo”， 放置 在 /etc/yum repos.d/ 目 录 下 。 
要 设置 仓库 文件 ， 需 要 指定 几 项 关键 属性 ， 如 表 2-5 所 示 。 
表 2-5 repo 文件 的 设置 

















属性 名 功能 描述 
[base] 用 于 区 别 各 个 不 同 的 repository， 唯 一 性 
name= 对 repository 的 描述 
mirrorlist= 指定 一 个 镜像 服务 器 的 地 址 列表 
enabled=1 表示 这 个 repo 中 定义 的 源 是 启用 的 ，0 为 禁用 
gpgcheck=1 启用 gpg 的 校 验 ， 确 定 rpm 包 的 来 源 安全 和 完整 性 ，0 为 禁止 
上- 定义 用 于 校 验 的 gpg 密 钥 
cost= cost 为 开销 ， 默 认 是 1000， 开 销 越 大 ， 使 用 优先 级 越 低 





使 用 cat 命令 查看 已 有 的 repo 文件 : 
#cat CentOS-Base.repo 
repo 文件 的 格式 如 图 2-11 所 示 。 
IN Base 


list=http:vvmirrorlist .centos .org 
mirror .centos .org/cento 


Jpgkeu=f ile etc-pkirpm-gpg“RPM-GPG-KEY-Cent0S-7 





图 2-11 repo 文件 的 格式 
2.4.3 ”使 用 光盘 作为 本 地 库 


我 们 使 用 yum 管理 自己 的 软件 系统 ， 当 CentOS 7 安装 好 后 ， 如 果 使 用 原始 仓库 的 
话 ， 因 为 仓库 在 国外 ， 速 度 会 比较 慢 ， 所 以 通常 需要 添加 国内 yum 仓库 ， 也 可 以 直接 使 用 
安装 盘 建 立 本 地 仓库 。 

为 了 方便 安装 软件 ， 可 以 用 安装 光盘 ， 来 建立 本 地 仓库 。 建 立 此 仓库 的 目的 一 是 本 地 
安装 远 远 快 于 网 络 安 装 ， 目 的 二 是 解决 软件 包 安 装 时 的 依赖 问题 。 


(od. 














去 挂 载 的 步骤 了 。 
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首先 ， 需 要 把 光盘 挂 载 至 某 目 录 下 ， 或 者 把 光盘 文件 复制 到 磁盘 某 目 录 下 ， 这 样 就 省 




















接 下 来 修改 配置 ， 添 加 新 仓库 的 定义 文件 ， 在 文件 中 使 用 fie:///path/to/mount 指明 访 





问 路 径 即 可 。 新 仓库 设 定 完成 后 ， 检 查 是 否 配置 成 功 。 如 果 成 功 的 话 ， 接 下 就 可 以 来 安装 
一 个 软件 包 ， 测 试 新 的 软件 仓库 是 否 正常 工作 了 。 


经 插入 光驱 ， 在 虚拟 机 里 ，ISO 文件 应 该 已 经 挂 载 的 虚拟 光驱 里 。 


样 ， 





(1) 挂 载 光 盘 。 
把 光驱 挂 载 到 指定 目录 ， 如 果 目 录 还 不 存在 ， 可 以 使 用 mkdir 命令 创建 。 光 盘 必 须 已 








#mkdir /mnt/localiso 
#mount -r /dev/cdrom /mnt/localiso/ 
#1s /mnt/localiso 


这 样 配置 每 次 重新 启动 都 要 重新 挂 载 ， 建 议 在 /etc/fstab 文件 中 添加 一 行 挂 载 内 容 ， 这 
每 次 启动 ， 系 统 会 自动 挂 载 光 盘 。 或 者 把 光盘 复制 到 硬盘 上 也 可 以 。 

(2) 定义 仓库 。 

yum 的 总 配置 文件 是 /etc/yum.conf， 可 以 新 建 一 个 配置 文件 放 在 /etc/yum.repos.d/ 目 录 


， 此 目录 下 的 仓库 定义 会 自动 识别 加 载 。 


#cd /etc/yum.repos.d/ 
#vim /etc/Yyum.repos .d/centos7-ISO.repo 


把 以 下 内 容 输入 文件 : 
[centos7-ISO] 
name=centos-local-iso 
baseurl=file:///mnt/localiso 
enabled=1 


gpgcheck=0 
cost=100 


[centos7-ISO] 是 仓库 的 名 称 ， 要 保证 唯一 ，name 设置 描述 信息 ; baseurl 设 定 仓库 存放 














的 位 置 ，enable 设置 为 1， 启 用 此 repo 仓库 ; gpgcheck 设置 为 0， 不 进行 gpg 校 验 ， 省 
事 ; cost 设置 为 100， 这 样 可 以 优先 使 用 此 仓库 。 


(3) 查看 可 用 repository， 检 查 是 否 配置 成 功 。 
执行 命令 查看 配置 好 已 启用 的 仓库 ， 如 图 2-12 所 示 。 


#yum repolist enabled 





图 2-12 查看 已 启用 的 repo 仓库 











可 以 看 到 Centos7-ISO 名 称 前 面 有 感叹 号 ， 说 明 centos7-ISO 仓库 启用 成 功 。 
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(4) 使 用 yum 命令 测试 软件 安装 。 
执行 命令 : 


#yum list 
#yum install net-tools 


如 果 软 件 包 能 快速 安装 成 功 ， 那 么 本 地 yum 就 可 以 用 了 。 


任务 二 : 配置 DNS 和 DHCP 服务 器 


在 这 一 部 分 内 容 中 ， 我 们 要 关注 三 个 问题 : DNS 服务 器 和 DHCP 服务 器 是 什么 ? 为 什 
么 要 使 用 DNS 和 DHCP 服务 器 ? 怎样 配置 和 管理 DNS 和 DHCP 服务 器 ? 


知识 储备 





2.5 DNS 服务 器 和 DHCP 服务 器 


DHCP 服务 和 DNS 都 是 网 络 的 基础 服务 ， 掌 握 了 这 些 服务 ， 就 可 以 解决 对 应 的 具体 问 
题 。 灵 活 使 用 掌握 的 技术 ， 可 以 高 效 地 完成 管理 任务 。 


2.5.1 ”IP 地 址 和 子 网 掩 码 


IP 地 址 是 32 位 二 进 制 数据 ， 通 常 以 十 进 制 表示 ， 并 以 “.” 分 隔 。IP 的 点 分 十 进 制 表 
示 法 如 图 2-13 所 示 。 卫 地 址 是 一 种 逻辑 地 址 ， 用 来 标识 网 络 中 的 一 个 个 主机 ，IP 有 唯一 
性 ， 即 每 台 机 器 的 下 在 全 世界 是 唯一 的 。 


a — |10000000000010110000001100011111 








每 隔 8 位 插入 一 个 空格 
能 够 提高 可 污 性 ”一 一 Ne 丰 负 
将 每 8 位 的 二 进 制 数 128 
转换 为 十 进 制 数 S 2 A 
采用 点 分 十 进 制 记 法 











则 更 加 便于 使 用 “一 128.11.3.31 





2-13 ”点 分 十 进 制 表示 法 


互联 网 是 由 许多 小 型 网 络 构成 的 ， 每 个 网 络 上 都 有 许多 主机 ， 这 样 便 构成 了 一 个 有 层 
次 的 结构 。IP 地 址 在 设计 时 就 考虑 到 地 址 分 配 的 层次 特点 ， 将 每 个 IP 地 址 都 分 割 成 网 络 
地 址 和 主机 地 址 两 部 分 ， 以 便于 IP 地 址 的 寻 址 操作 。 

JP 地 址 的 网 络 地 址 和 主机 地 址 各 是 多 少 位 呢 ? 如 果 不 指 定 ， 就 不 知道 哪些 位 是 网 络 地 
址 、 哪 些 是 主机 地 址 ， 这 就 需要 通过 子 网 掩 码 来 实现 。 
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什么 是 子 网 掩 码 ? 子 网 掩 码 不 能 单独 存在 ， 它 必须 结合 人 P 地 址 一 起 使 用 。 子 网 掩 码 只 
有 一 个 作用 ， 就 是 将 某 个 IP 地 址 划分 成 网 络 地 址 和 主机 地 址 两 部 分 。 子 网 掩 码 的 设 定 必须 
遵循 一 定 的 规则 。 与 瑟 地 址 相对 应 ， 网 络 位 用 二 进 制 数字 1 表示 ; 主机 位 用 二 进 制 数字 0 
表示 。JP 地 址 和 子 网 掩 码 如 表 2-6 所 示 。 
表 2-6 IP 地 址 和 子 网 掩 码 





字 节 四 




















子 网 掩 码 11111111 DD 11111111 00000000 
了 他 地 址 | 11000000 10101000 00000001 | 00000001 
点 分 十 进 制 | io 168 1 | 

地 址 划分 网 络 地 址 主机 地 址 


书写 卫 设置 信息 时 ， 卫 地 址 和 子 网 掩 码 通常 一 起 书写 。 

例如 : 192.168.125.1/255.255.255.0 或 者 192.168.125.1/24。 

这 两 种 写法 意思 是 一 样 的 ， 前 面 是 IP 地 址 ， 后 面 的 255.255.255.0， 转 成 二 进 制 ，255 
就 是 二 进 制 的 11111111( 八 个 1)， 三 个 255 就 意味 着 前 面 8x3=24 位 都 是 1， 而 子 网 掩 码 位 
为 1 表示 IP 地 址 的 对 应 位 是 网 络 地 址 位 ， 剩 下 的 32-24=8 位 就 是 主机 地 址 了 。 第 二 种 写 
法 看 起 来 比较 友好 ，“/24” 表 示 前 24 位 是 网 络 地 址 ， 后 面 的 是 主机 地 址 。 


2.5.2 默认 网 关 


网 关 是 一 个 网 络 通 向 其 他 网 络 的 出 口 地 址 。 两 个 网 络 即使 连接 在 同一 台 交 换 机 上 ， 也 
不 能 直接 通信 ， 必 须 通过 网 关 转 发 。 

有 了 IP 地 址 和 子 网 掩 码 ， 我 们 就 可 以 计算 出 来 网 络 地 址 。 比 如 192.168.125.1/24， 前 
面 三 个 字 节 段 是 网 络 地 址 位 ， 把 主机 地 址 位 置 为 全 0 后 ， 得 到 网 络 地 址 192.168.125.0/24， 
这 就 是 我 们 需要 的 网 络 地 址 。 

当 A 主机 向 B 主机 发 送信 息 时 ，A 主机 会 计算 自己 的 网 络 地 址 和 对 方 的 网 络 地 址 是 否 
在 同一 个 网 络 ， 如 果 网 络 地 址 相同 ， 那 么 就 直接 发 送 ， 如 果 网 络 地 址 不 同 ， 那 么 就 发 送 到 
网 关 ， 由 网 关 通 过 路 由 机 制 转 发 到 目的 主机 。 默 认 网 关 如 图 2-14 所 示 。 因 此 ， 只 有 设置 好 
网 关 的 瑟 地 址 ， 才 能 实现 不 同 网 络 之 间 的 相互 通信 。 








~ 


0 Sd 
RouterA 
E0 :192.168.1.1724 
| | Pe ww PCCIP:192.168.1.2/24 
se GWF192.168.1.1) 


2-14 ”默认 网 关 
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如 图 2-14 所 示 ， 路 由 器 RouterA 是 整个 局 域 网 连接 互联 网 的 出 口 ， 任 何 一 台 计 算 机 要 
上 了 网， 首先 需要 经 过 RouterA， 所 以 ，RonuterA 就 是 整个 局 域 网 的 网 关 ，RonuterA 的 全 地 
址 就 是 整个 局 域 网 的 网 关 地 址 。 

如 果 出 口 只 有 一 个 ， 那 么 它 肯 定 就 是 默认 网 关 。 有 时 候 ， 一 个 网 络 有 可 能 不 止 一 个 网 
络 出 口 ， 比 如 移动 和 联通 两 条 线路 同时 接 入 ， 此 时 ， 默 认 网 关 指 的 是 当主 机 发 送 数据 时 ， 
如 果 系 统 设 置 中 没有 明确 指定 送 去 哪里 ， 那 么 就 会 把 数据 包 发 给 我 们 设 定 为 默认 的 网 关 ， 
由 这 个 网 关 来 处 理 数据 包 。 例 如 所 属 网 络 有 中 国 移动 ISP 接 入 和 中 国联 通 网 络 ISP 接 入 两 
个 出 口 ， 网 管 可 能 设置 一 部 分 信息 从 移动 出 口 转发 ， 另 一 部 分 从 联通 出 口 转发 ， 至 于 没 说 
明 的 部 分 ， 就 送 给 设 定 的 默认 网 关 来 转发 。 


2.5.3 DHCP 动态 主机 配置 协议 











动态 主机 配置 协议 (Dynamic Host Configuration Protocol，DHCP) 是 TCP/IP 协议 中 的 一 
种 ， 主 要 是 用 来 给 网 络 客户 机 分 配 动态 的 卫 地 址 。 这 些 被 分 配 的 IP 地 址 都 是 DHCP 服务 
器 预先 配置 好 的 一 个 由 多 个 地 址 组 成 的 地 址 集 ， 并 且 它 们 一 般 是 一 段 连续 的 地 址 。 

使 用 DHCP 时 ， 必 须 在 网 络 上 有 一 台 DHCP 服务 器 ， 而 其 他 机 器 作为 DHCP 客户 端 
从 服务 器 获得 IP 地 址 信息 。 当 DHCP 客户 端 程序 发 出 一 个 信息 ， 要 求 一 个 动态 的 卫 地 址 
时 ，DHCP 服务 器 会 根据 目前 已 经 配置 的 地 址 ， 提 供 一 个 可 供 使 用 的 IP 地 址 设置 信息 给 客 
户 端 。 通 常 这 些 信息 包括 瑟 地 址 、 子 网 掩 码 、 默 认 网 关 、 本 地 DNS 服务 器 地 址 等 。 

DHCP 使 服务 器 能 够 动态 地 为 网 络 中 的 其 他 服务 器 提供 人 P 地 址 ， 通 过 使 用 DHCP， 就 
可 以 不 再 给 网 络 中 除 服 务 器 外 的 任何 服务 器 设置 和 维护 静态 IP 地 址 。 大 大 简化 配置 客户 机 
的 TCP/IP 的 管理 维护 工作 ， 尤 其 是 当 某 些 TCP/IP 参数 改变 时 ， 如 网 络 的 大 规模 重建 而 引 
起 的 他 地 址 和 子 网 掩 码 的 更 改 。 

DHCP 服务 的 基本 思路 就 是 为 了 排除 手工 配置 可 能 出 现 的 差错 ， 由 服务 器 自动 进行 人 P 
地 址 和 其 他 网 络 配 置信 息 的 分 配 。 每 一 台 客户 机 启动 时 ， 都 需要 向 网 络 中 发 出 DHCP 
Discovery 广播 ， 来 寻找 DHCP 服务 器 ， 当 服务 器 收 到 信息 后 ， 会 从 自己 的 地 址 池 中 取出 
来 一 个 可 用 的 IP 地址 回 送 给 客户 端 ， 这 就 是 DHCP offer 信息 客户 机 收 到 了 P 地 址 后 ， 向 
服务 器 提交 申请 DHCP request， 要 求 获得 这 个 IP 地 址 的 使 用 权 ; 服务 器 审核 请 求 ， 把 人 P 
等 信息 送 给 客户 机 ， 这 就 是 DHCP ACK 信息 。 整 个 DHCP 工作 过 程 如 图 2-15 所 示 。 


DHCP 工 作 过 程 
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看 起 来 好 像 挺 乱 的 ， 实 际 上 就 好 像 你 去 小 卖 店 。 


你 喊 一 声 : “有 人 在 吗 ”? < 一 一 >DHCP Discovery 
店主 出 来 说 : 你 看 这 个 东西 不 错 ， 要 不 ? <———> DHCP offer 

你 看 看 说 : 挺 好 ， 就 它 吧 ! 给 你 钱 。 <- 一 一 DHCP request 
店主 说 : 刚刚 好 ， 给 你 。 <- 一 一 >DHCP ACK 


要 注意 的 是 ， 你 得 到 的 不 是 瑟 地 址 等 的 终身 使 用 权 ， 而 是 一 个 租约 。 在 租约 到 期 前 
你 要 续 租 ， 否 则 一 旦 到 期 ， 你 就 不 能 够 使 用 这 个 人 P 地 址 了 。 客 户 机 会 在 到 期 前 自动 续 租 ， 
成 功 了 租约 更 新 ， 继 续 使 用 ;， 如 果 失 败 了 ， 会 过 一 段 时 间 自 动 申请 ;如果 直到 租 期 到 了 ， 
却 还 没 续 租 成 功 ， 就 只 能 放弃 使 用 这 个 他 地 址 了 。 

DHCP 基本 上 是 必 配 的 基础 服务 ， 它 可 以 大 大 简化 配置 客户 机 IP 地 址 设置 的 工作 量 ， 
并 减少 IP 地 址 冲突 的 可 能 性 ， 此 外 ， 如 果 网 络 配 置 需 要 大 范围 的 修改 ， 也 不 需要 一 个 个 主 
机 地 去 改 了 ， 只 需要 重新 配置 一 下 服务 器 ， 就 可 以 完成 这 个 任务 。 


2.5.4 DNS 域名 服务 








域名 服务 (Domain Name Service，DNS) 的 作用 是 域名 解析 ， 可 以 把 域名 解析 成 为 人 P 地 
址 ， 也 可 以 反 向 解析 。 这 样 ， 我 们 在 访问 网 站 时 ， 可 以 不 需要 输入 难 记 的 IP 地 址 ， 相 对 来 
说 ， 有 意义 的 名 字 更 为 容易 记忆 和 使 用 。 

就 像 每 个 人 都 有 身份 证 号 ， 也 有 名 字 。 我 们 会 用 身份 证 号 码 来 称呼 记忆 别人 吗 ? 是 不 
是 使 用 名 字 更 适合 我 们 呢 ? 

使 用 DHCP 服务 器 ， 是 为 了 让 主机 向 所 在 网 络 的 DHCP 服务 器 申请 从 指定 的 IP 范围 
内 自动 获取 卫 地 址 设置 。 而 使 用 DNS 服务 器 ， 是 为 了 能 够 更 友好 地 访问 主机 。 

互联 网 是 由 许 许多 多 的 局 域 网 互联 而 成 的 世界 范围 的 网 络 。 这 些 网 络 属于 不 同 的 公司 
或 者 其 他 组 织 部 门 ， 由 各 组 织 部 门 自行 管理 。 各 组 织 部 门 向 互联 网 管理 机 构 申 请 IP 地 址 和 
域名 后 ， 配 置 DHCP 服务 器 或 者 手动 来 分 配 卫 地 址 ， 配 置 DNS 服务 器 为 每 台 服 务 器 甚至 
普通 主机 进行 域名 解析 。 

JP 地 址 有 32 位 ， 理 论 上 说 ， 可 以 提供 22( 约 43 亿 ) 个 卫 地 址 。 如 果 每 个 主机 都 有 个 
名 字 ， 那 么 也 就 有 几 十 亿 的 名 字 要 管理 ， 想 起 来 就 觉得 好 累 ， 是 不 是 ? 

就 像 中 国有 十 几 亿 人 ， 那 么 按照 地 域 ， 分 成 若干 个 省 级 单位 ; 每 个 省 级 单位 下 面 再 分 
成 若干 个 地 区 ; 每 个 地 区 下 面 再 分 成 县 。 按 照 这 样 的 模式 ， 最 底层 的 部 门 ， 例 如 居民 委员 
会 ， 来 具体 管理 所 在 区 域 的 人 口 ， 其 他 的 各 级 分 别管 理 自己 直属 的 下 级 并 接受 上 级 的 管 
理 ， 最 高 级 由 中 央 政 府 总 管 全 局 。 

互联 网 并 不 按照 国家 地 区 来 管理 网 络 ， 但 是 也 采用 类 似 的 管理 思路 。 如 图 2-16 所 示 ， 
最 上 层 称 为 根 域 ， 是 大 总 管 ， 就 像 中 央 政 府 ; 下 面 分 为 若干 分 支 ， 称 为 顶级 域 ， 然后 各 域 
下 面 再 进行 细 分 。 每 一 级 也 是 逐 层 管理 的 关系 。 

当 你 邮寄 信件 填写 地 址 时 ， 你 会 写 类 似 “ 河 北 省 廊坊 市 固 安 县 *** 街 *** 号 某 某 人 收 ” 
这 样 的 地 址 。 在 互联 网 中 ， 地 址 也 是 这 样 的 ， 不 过 要 倒 过 来 写 。 
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比如 北京 经 济 管理 职业 学 院 ， 隶 属 cn( 中 国 ) 顶 级 域 下面 的 edu 域 (教育 类 别 )， 自 己 名 
称 的 缩写 是 biem， 所 以 域名 就 是 “biem.edu.cn. ”。 最 后 那个 点 后 面 空 着 ， 表 示 根 域 。 因 
为 根 域 逻 辑 上 只 有 一 个 ， 所 以 通常 书写 的 时 候 省 略 掉 ， 就 是 “biem.edu.cn”。 如 果 学 校 有 
一 台 主 机 名 称 为 www， 那 么 这 个 主机 的 完整 域名 就 是 www.biem.edu.cn。 

按照 这 样 的 规划 ， 根 域 域 名 服务 器 负责 管理 所 有 顶级 域 (例如 cn 等 ) 的 查询 ，cn 顶级 域 
负责 管理 所 属 下 一 级 域 (例如 edu.cn) 的 查询 ，edu.cn 域 负责 管理 所 属 下 一 级 域 (例如 
biem.edu.cn) 的 查询 ， 而 biem.edu.cn 内 部 的 主机 ， 就 由 北京 经 济 管理 职业 学 院 自己 的 域名 
服务 器 来 负责 。 

管理 管理 管理 

根 域 <== cn 域 <== edu 域 <== biem 域 

比如 学 校 里 有 一 台 主机 名 称 叫 www， 则 域名 www.biem.edu.cn 通常 就 由 biem.edu.cn 
域 的 DNS 服务 器 来 负责 解析 。 

现在 让 换个 角度 ， 当 要 访问 一 个 域名 时 ， 比 如 www.sina.com.cn，DNS 系统 是 如 何 工 
作 的 呢 ? 

用 户 自 己 的 主机 或 者 说 网 络 也 会 属于 一 个 域 。 在 网 络 设置 中 ， 我 们 会 指定 至 少 一 个 域 
名 服务 器 ， 通 常 是 自身 所 在 域 的 域名 服务 器 ， 称 为 本 地 DNS 服务 器 。 这 样 的 服务 器 离 我 
们 近 ， 速 度 快 。 有 时 候 ， 我 们 会 想 换 其 他 的 DNS 服务 器 ， 比 如 使 用 美国 的 某 一 个 开放 的 
DNS 服务 器 ， 那 样 ， 每 次 解析 都 要 到 美国 打 一 个 来 回 ， 会 不 会 有 点 累 ? 

配置 好 域名 服务 器 后 ， 当 主机 需要 解析 域名 时 ， 就 会 向 指定 的 域名 服务 器 提交 域名 的 
解析 请 求 ， 由 它 来 为 我 们 解析 成 卫 地 址 。 

域名 服务 器 接收 请 求 后 ， 首 先 会 检查 目标 是 否 归属 自己 负责 的 区 域 ， 如 果 是 ， 那 么 就 
把 结果 送 给 客户 机 。 如 果 不 是 本 区 域 的 目标 ， 它 会 查找 本 地 缓存 中 先前 的 解析 记录 ， 如 果 
有 对 应 纪录 ， 就 把 结果 返回 如 果 还 没有 ， 那 么 它 就 要 去 找 负责 该 域名 解析 的 那个 域名 服 
务 器 。 

怎么 找 呢 ?所 有 的 域名 服务 器 都 存放 着 根 域 的 地 址 ， 它 会 先 询问 根 域 服务 器 ， 从 根 域 
那里 查找 到 对 应 顶级 域 服务 器 的 卫 ， 再 依次 向 下 查询 ， 直 到 找到 目标 域 的 域名 服务 器 。 然 
后 向 它 查 询 ， 再 把 结果 返回 给 客户 机 ， 完 成 任务 。 
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客户 机 得 到 目标 卫 地址 ， 就 可 以 使 用 他 地 址 来 访问 目标 主机 了 。 
DNS 解析 过 程 可 以 参考 图 2-17 中 的 例子 。 


2， 请 求 www sina com cn 的 地 直 













要 指向 cn 服务 器 的 参考 信息 > 
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服务 器 






| 4. 请 求 www.sina.com.en 的 地 址 


7, 指向 sina.com.en 服 委 器 
的 参考 信息 Bp 

8， 请 求 www sina comei 的 。 conucn DNS 
地 址 
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IP 地 址 是 互联 网 的 核心 地 址 ， 而 域名 ， 是 为 了 让 我 们 更 友好 地 使 用 网 络 提供 的 一 种 便 
捷 服 务 。 用 户 很 少 会 记忆 对 人 类 来 说 不 算 友 好 的 服务 器 的 瑟 地 址 ， 这 也 是 域名 服务 如 此 普 
遍 的 原因 。 

DNS 服务 器 的 类 型 分 为 Master( 主 DNS 服务 器 )、Slave( 辅 助 DNS 服务 器 )、Cache- 
only( 缓 存 DNS 服务 器 ) 三 种 。 

Master 类 型 的 DNS 服务 器 要 负责 对 所 属 区 域 进行 解析 ， 所 以 本 身 含 有 存放 所 属 区 域 
主机 信息 的 区 域 文件 (zone file)， 当 接收 到 查询 请 求 时 ， 对 所 属 区 域 记 录 进 行 解 析 。 

Slave 类 型 的 服务 器 是 Master 类 型 服务 器 的 镜像 ， 它 的 区 域 文件 的 内 容 与 主 DNS 服务 
器 的 信息 完全 一 致 。 配 置 辅助 DNS 服务 器 的 目的 是 为 了 防止 主 服务 器 发 生 故障 ， 导 致 
DNS 服务 不 可 用 。 一 般 来 说 ， 可 靠 的 网 络 ， 至 少 要 有 两 部 主机 提供 DNS 服务 。 

Cache-only 类 型 的 DNS 服务 器 没有 自己 的 区 域 文件 ， 它 的 功能 仅仅 是 将 查询 请 求 转发 
给 其 他 的 DNS 服务 器 进行 查询 ， 并 将 得 到 的 结果 反馈 给 请 求 计 算 机 ， 同 时 在 本 地 缓存 中 
存放 一 份 ， 以 备 后 用 。 当 有 一 个 用 户 查询 过 后 ， 再 次 查询 时 ， 就 可 以 从 缓存 服务 器 直接 解 
析 ， 会 大 大 提升 解析 的 速度 。 
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任务 实践 
2.6 DHCP 服务 器 的 配置 


2.6.1 任务 描述 


使 用 192.168.125.0/255.255.255.0 网 段 来 配置 公司 网 络 ， 网 络 规划 方案 如 表 2-7 所 示 。 
表 2-7 网 络 规划 方案 





部 门 分 类 地 址 范围 备 注 
服务 器 组 192.168.125.1 ~ 192.168.125.9 当前 3 台 服 务 器 (静态 IP) 
员工 主机 组 当前 40 台 主 机 (DHCP) 





管理 与 特殊 组 网 络 管理 使 用 或 其 他 应 用 


默认 网 关 : 192.168.125.254; DNS 服务 器 地 址 : 114.114.114.114 


请 配置 DHCP 服务 ， 用 于 公司 的 他 地 址 自动 分 配 和 管理 。 
2.6.2 任务 分 析 


DHCP 服务 用 来 为 网 络 中 的 主机 进行 PP 地 址 设置 的 自动 分 配 。 要 连接 网 络 进行 网 络 通 
和信， 每 台电 脑 就 必须 有 正确 的 下 地址 设置 。 

通常 ，IP 地 址 规划 在 网 络 建设 前 就 设 定好 了 ， 每 一 台 主 机 都 有 预 设 的 配置 ， 这 些 配置 
通常 包括 IP 地 址 / 子 网 掩 码 、 默 认 网 关 、DNS 服务 器 的 卫 等 。 

对 于 普通 用 户 来 说 ， 很 可 能 并 不 能 正确 理解 这 些 设 置 的 具体 作用 ， 如 果 用 户 配置 出 
错 ， 出 现 网 络 故障 的 话 ， 就 要 网 管 去 处 理 。 当 用 户 数 多 了 ， 会 花费 网 管 很 多 时 间 。 事 实 
上 ， 对 于 网 络 管理 人 员 来 说 ， 重 复 性 手动 处 理 在 一 定 程度 上 都 是 不 称职 的 表现 。 

通过 配置 DHCP 服务 ， 会 大 大 减轻 卫 地 址 管理 的 工作 量 。 此 时 ， 网 管 不 需要 为 每 一 
台 主 机 手动 配置 网 络 ， 也 不 需要 对 出 错 的 网 络 进行 修正 ， 更 不 需要 对 每 个 用 户 进行 知识 科 
普 和 培训 ， 唯 一 要 做 的 ， 就 是 安装 并 配置 好 一 个 DHCP 服务 器 。 

在 本 任务 中 ， 使 用 的 网 段 192.168.125.0/24 共 包含 1~254 共 254 个 可 分 配 卫 地 址 ，0 
作为 网 络 标识 ，255 作为 广播 地 址 ， 是 网 络 的 默认 约定 ， 不 参与 主机 地 址 分 配 。 当 前 有 三 
台 服 务 器 ， 地 址 分 别 分 配 为 1、2、3， 后 面 几 个 保留 给 未 来 使 用 ; 当前 主机 数 40 台 ， 考 虑 
到 未 来 还 可 能 增加 ， 所 以 也 要 进行 合理 的 预 留 ， 这 里 把 从 10 到 200 共 191 个 瑟 地 址 分 配 
给 此 部 分 ， 足 够 满足 可 预计 的 未 来 需求 ， 从 201 到 253， 留 给 网 管 分 配 使 用 ，254 分 配给 
网 关 使 用 。 

你 也 可 以 自己 按照 企业 需求 进行 灵活 的 规划 ， 再 按照 规划 来 布置 和 实施 。 
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2.6.3 ”配置 步骤 


对 注意 : ”DHCP 配置 文件 是 /etc/dhcp/dhcpd.conf. 
全 局 配置 包含 授权 、 租 约 设置 等 。 
DHCP 配置 要 设置 地 址 范围 、 子 网 掩 码 、 默 认 网 关 、DNS 服务 器 等 。 
保留 地 址 配置 需要 获得 对 方 主机 网 卡 的 MAC 地 址 才 可 以 配置 。 


DHCP 服务 的 作用 是 自动 分 配 卫 地 址 设置 ， 具体 来 说 ， 包 括 IP 地 址 、 子 网 掩 码 、 默 
认 网 关 、DNS 服务 器 地 址 等 信息 。 要 正确 分 配 ， 首 先 当然 需要 设置 好 这 些 内 容 。 

配置 之 前 ， 需 要 检查 服务 器 的 IP 地 址 。 通 常 ， 服 务 器 都 要 配置 为 静态 卫 。 另 外 ， 一 
个 DHCP 服务 器 可 以 同时 进行 多 个 网 段 的 IP 地 址 分 配 ， 具 体 分 配 哪 个 网 段 ， 要 看 接受 的 
请 求 来 自 于 哪个 网 卡 ， 它 的 网 络 地 址 是 什么 ， 服 务 器 才 会 分 配对 应 网 段 的 地 址 。 如 果 地 址 
池 里 没有 对 应 的 网 段 ，DHCP 服务 器 就 无 法 正常 工作 。 所 以 ， 设 置 静态 IP， 而 且 配 置 的 网 
段 应 该 和 网 卡 的 他 地 址 在 一 个 网 段 。 

配置 前 要 考虑 的 另 一 个 问题 是 网 络 地 址 的 规划 。 要 按照 规划 来 进行 配置 ， 不 要 随意 化 
地 更 改 ， 以 免 造 成 混乱 。 

还 有 一 个 要 做 的 准备 工作 ， 就 是 关闭 VMware 软件 本 身 自 带 的 DHCP 服务 ， 以 免 对 实 
验 结果 造成 影响 。 

在 服务 列表 中 ， 找 到 VMware DHCP Service 服务 ， 把 它 关 闭 掉 。 


1. 安装 DHCP 服务 


检查 DHCP 服务 是 否 已 经 安装 ， 使 用 yum info dhcp 命令 ， 如 图 2-18 所 示 。 如 果 尚 未 
安装 ， 使 用 yum install dhcp 命令 安装 DHCP 服务 器 软件 。 


#yum info dhcp 
#yum install dhcp 


安装 完成 后 ， 就 可 以 开始 配置 DHCP 服务 了 。 





_ 坦 看 帮助 (H) 
苇 | 回 国 | PP pe 








选择 一 个 项 目 末 坦 看 它 的 内 述 . 名 称 拓 述 
Sh VMware Authorization Service Authoriza 
VMware DHCP Service DHCP se 
Sh VMware NAT Service Network 
Sh VMware USB Arbitration Service Arbitratic 


人 VMware Workstation Server Remote a 


图 2-18 ”服务 列表 中 的 VMware DHCP Service 
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2. 配置 之 前 要 做 的 工作 

DHCP 服务 的 配置 文件 是 /etc/dhcp/dhcpd.conf。 安 装 好 DHCP 软件 后 ， 就 需要 设置 配 
置 文件 dhcpd.conf 来 进行 PP 地 址 管理 。 

(1) 先 查看 一 下 文件 的 初始 内 容 ， 如 图 2-19 所 示 。 


#cat /etc/dhcp/dhcpd.conf 


[root@localhost ~]# cat /etc/dhcp/dhcpd .conf 


Pp Server Conf iguration file. 
> /usr/share/doc/dhcp*/dhcpd .conf .example 


see dhcpd .conf (5) man page 





图 2-19 DHCP 的 初始 配置 文件 

可 以 看 出 ， 刚 安装 时 ， 配 置 文件 内 没有 配置 内 容 ， 只 有 提示 信息 ， 告 诉 我 们 要 配置 
DHCP 服务 器 ， 可 以 查看 范例 文件 dhcpd.conf.example 或 者 执行 命令 “man 5 dhcpd.conf” 
查看 帮助 文档 。 

(2) 复制 配置 模板 文件 。 

建议 执行 下 面 的 命令 ， 把 样 例文 件 复制 过 来 ， 覆 盖 空 配置 文件 : 

#cp /usr/share/doc/dhcp*/dhcpd.conf.example /etc/dhcp/dhcpd.conf 

把 范例 文件 复制 过 来 后 ， 再 进行 修改 。 当 然 也 可 以 直接 在 源 文件 上 输入 配置 内 容 。 

(3) 备份 原始 的 配置 文件 。 

在 开始 配置 前 ， 记 住 备份 原来 的 配置 文件 ， 这 样 ， 当 系统 因为 新 配置 出 问题 时 ， 可 以 
恢复 成 原来 的 状态 ， 这 是 很 重要 的 一 步 。 备 份 文件 的 位 置 ， 一 般 是 放 在 配置 文件 的 原 目 
录 ， 使 用 cp 文件 复制 命令 复制 一 份 ， 取 名 通常 是 在 源 文件 名 称 后 加 个 后 级 ， 以 见 名 知 
意 。 例 如 ， 取 名 为 dhcpd.conf 1 或 者 dhcpd.confbak。 对 于 服务 器 来 说 ， 服 务 的 配置 文件 非 
党 重要， 配置 完成 后 ， 一 般 也 需要 复制 到 管理 计算 机 上 进行 保存 ， 当 系统 出 现 重 大 故障 
时 ， 用 以 复原 服务 配置 。 


#cd /etc/dhcp/ 
#cp dhcpd.conf dhcpd.conf.bak 





3. 进行 DHCP 配置 
执行 命令 编辑 配置 文件 /etc/dhcp/dhcpd.conf: 


#vi /etc/dhcp/dhcpd.conf 
(1) 设 定 全 局 配置 项 : 


authoritative; 

default-lease-time 7200; 

max-lease-time 72000; 

option domain-name "testl.com"; 

option domain-name-servers 114.114.114.114; 


.TD 
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说 明 : ”authoritative 用 来 说 明 本 DHCP 服务 器 是 所 服务 网 络 的 官方 (合法 授权 )DHCP 
服务 器 。 
default-lease-time 设置 默认 租约 有 效 期 ， 以 秒 为 单位 。 如 果 客 户 端 在 请 求 IP 
地 址 时 并 未 要 求 租 约 有 效 期 ，DHCP 服务 器 就 会 将 租约 有 效 期 设置 为 这 个 
值 。 比 如 设置 为 2 小 时 ， 换 算 成 秒 就 是 2( 小 时 )x60( 分 钟 /小 时 )x60( 秒 /分 
钟 )=7200( 秒 )。 
Imax-lease-time， 单 位 为 秒 ， 是 设置 客户 端 可 请 求 的 最 大 租约 有 效 期 。 
option domain-name， 设 置 域名 。 
option domain-name-servers， 设 置 域名 服务 器 。 


上 面 的 配置 项 设 定 了 合法 授权 ; 默认 租约 时 间 为 2 小 时 ; 最 大 租约 时 间 为 20 小 时 ; 
当前 所 属 域 是 testl.com; 域名 服务 器 设置 为 114.114.114.114。 
(2) 配置 地 址 池 : 
subnet 192.168.125.0 netmask 255.255.255.0 { 
range 192.168.125.10 192.168.125.200; 


option routers 192.168.125.254; 
} 


| 骨 | 说 明 : subnet 语句 指定 子 网 和 子 网 掩 码 。 
Iange 语句 指定 可 动态 分 配 的 了 P 的 了 地址 范围 。 
option routers 语句 指定 网 关 地 址 。 


上 面 的 配置 在 地 址 池 里 加 入 一 个 网 段 (subnet， 子 网 的 意思 ) 的 IP 地 址 进行 分 配 ， 此 网 
段 的 网 络 地 址 是 192.168.125.0， 子 网 扼 码 是 255.255.255.0( 等 价 于 /24)， 也 就 是 说 ， 前 面 24 
位 是 网 络 地 址 标识 ， 后 面 还 剩 下 的 8 位 (32-24) 是 主机 地 址 标识 。 这 样 的 网 段 最 多 可 以 包含 
256 个 人 P 地 址 (8 位 二 进 制 最 多 能 表示 2s=256 个 数 )， 其 中 ，0 作为 网 络 地 址 ，255 作为 广 
播 地 址 ， 不 分 配给 主机 使 用 ， 最 多 可 以 分 配给 254 台 主 机 使 用 。 

接 下 来 设置 地 址 范围 和 功能 选项 ， 因 为 0 和 255 已 有 用 途 ， 真 正 能 用 的 IP 地 址 是 
1~254。 在 实际 场合 ， 规 划 IP 地 址 时 ， 一 些 地 址 会 固定 分 配给 某 些 主机 ， 不 参与 DHCP 的 
分 配 和 管理 。 例 子 里 ，10 之 前 的 地 址 分 配给 服务 器 使 用 ，200 以 后 的 了 P 分 配给 特殊 用 户 。 
当然 ， 实 际 上 应 该 没有 这 么 多 服务 器 ， 这 是 做 的 预 留 。 真 正 用 来 分 配 使 用 的 是 从 10 到 
200， 共 191 个 地 址 。 再 通过 option routers 来 指定 网 关 地 址 ， 这 样 ， 当 用 户 申 请 时 ， 网 络 
配置 四 要 素 就 齐备 了 。 

例如 某 一 台 用 户 计 算 机 向 DHCP 服务 器 提出 申请 ， 最 终 会 得 到 如 表 2-8 所 示 的 设置 。 

主机 申请 得 到 这 样 的 他 设置 后 ， 会 按照 指定 信息 配置 本 地 网 络 ， 然 后 就 可 以 正常 使 用 
网 络 功能 了 。 

(3) 设 定 排 除 地 址 。 

在 刚才 的 例子 中 ， 我 们 已 经 排除 了 卫 区 域 : 192.168.125.1~9 和 192.168.125.201~254 
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没有 分 配 ， 剩 下 待 分 配 的 区 域 PP 地 址 段 是 连续 的 ， 如 果 规 划 中 ， 待 分 配 地 址 段 不 连续 ， 应 
该 如 何 处 理 呢 ? 


表 2-8 从 DHCP 服务 器 获得 的 IP 设置 信息 












说 明 
从 地 址 池 里 取出 第 一 个 未 使 用 的 他 地址 
subnet 语句 中 的 netmask 指定 的 掩 码 
option routers 语句 设 定 


全 局 配置 中 的 domain-name-servers 语句 设 定 






设置 项 IP 
卫 地 址 | 192.168.125.10 
子 网 掩 码 












255.255.255.0 
192.168.125.1 
114.114.114.114 







DNS 服务 器 


假如 我 们 把 要 排除 的 服务 器 PP 地 址 段 从 1~9 改 设 成 100~109， 那 么 range 语句 应 该 如 
何 调整 呢 ? 此 时 ， 我 们 把 原来 的 设 定语 句 修 改 成 两 段 (1~99，110~200) 就 可 以 了 。 

网 络 全 地 址 方案 在 网 络 规划 阶段 就 制定 完成 ， 按 照 方案 实施 配置 即 可 。 在 制作 地 址 方 
案 时 ， 会 为 未 来 的 可 能 改变 预 留 出 一 些 区 段 ， 这 些 预 留 卫 可 以 根据 需要 灵活 使 用 。 

#range 192.168.125.10 192.168.125.200; 

range 192>、160>1251 192:16801295:99 

range 192.168.125.110192.168.125.200; 

(4) 为 一 些 用 户 设 定 保留 地 址 。 

在 管理 网 络 时 ， 总 有 些 人 是 特殊 的 。 例 如 工作 性 质 需 要 特殊 权限 的 同事 ， 例 如 老总 和 
上 级 ， 例 如 一 些 总 给 你 制造 麻烦 的 人 等 。 

如 果 使 用 前 面 的 自由 分 配方 法 ， 我 们 并 不 知道 这 些 用 户 会 得 到 哪 一 个 IP 地 址 。 不 能 识 
别 用 户 的 瑟 地 址 所 对 应 的 身份 ， 就 不 能 根据 IP 地 址 给 予 专门 的 对 待 ， 不 能 给 特权 用 户 想 
要 的 特权 ， 也 不 能 限制 或 者 提防 麻烦 的 制造 者 了 。 

IP 地 址 对 于 主机 ， 就 像 身 份 证 和 个 人 的 关系 一 样 ， 是 最 根本 、 最 重要 的 标识 。 对 特殊 
用 户 ， 可 以 让 他 们 每 次 申请 时 得 到 固定 不 变 的 卫 ， 这 样 就 可 以 有 针对 性 地 进行 管理 了 。 

要 进行 这 样 的 设置 ， 你 需要 获得 对 方 主机 网 卡 的 MAC 地 址 。 在 对 方 计算 机 上 执行 : 

#ifconfig (如 果 是 Windows， 执 行 jpconfig 命令 ) 


把 网 卡 的 MAC 地 址 记 下 来 。 如 果 是 局 域 网 内 部 的 麻烦 制造 者 的 话 ， 在 日 志文 件 或 者 
网 络 工具 里 可 以 直接 提取 对 方 的 MAC 地 址 。 如 果 对 方 已 获得 一 个 卫 ， 可 以 执行 以 下 命令 
获得 对 方 物理 地 址 : 

#ping 对 方 IP 

#arp -a 

得 到 对 方 主机 的 MAC 地 址 后 ， 在 配置 文件 上 添加 如 下 设置 : 


host pcl { 
hardware ethernet 00:50:79:66:11:01; 
fixed-address 192.168.125.100; 

| 
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说 明 : 使 用 host 语 句 可 以 给 指定 MAC 地 址 的 主机 分 配 固定 的 他 地 址 ，host 后 面 接 
的 名 称 (pcl) 是 可 以 自由 设置 的 ， 只 要 该 名 称 在 本 配置 文件 中 是 唯一 的 就 可 以 。 
hardware ethernet 设置 要 分 配 IP 地 址 的 计算 机 网 卡 的 物理 地 址 。 
fixed-address 设置 要 分 配给 这 台 计 算 机 的 JP 地 址 。 


物理 地 址 是 网 络 设备 生产 商 生 产 设备 时 存放 在 硬件 中 的 标识 ， 是 全 球 唯一 的 地 址 ， 可 
以 用 来 标识 计算 机 。 物 理 地址 共 48 位 二 进 制 ， 为 了 表示 方便 ， 转 换 成 16 进 制 数 (每 4 位 二 
进 制 数 可 以 转换 成 1 位 16 进 制 数 ) 来 表示 ， 共 48/4=12 位 。 

本 例 中 为 物理 地 址 是 00:50:79:66:11:01 的 计算 机 设 定 固定 IP 地 址 192.168.125.100。 这 
样 ， 当 这 台 主 机 申请 卫 时 ， 可 以 保证 每 次 都 能 获得 这 个 固定 的 IP 地 址 。 当 设置 为 固定 地 
址 后 ， 即 使 这 台 计 算 机 没有 申请 ， 此 固定 人 P 地 址 也 不 会 分 配给 别 的 计算 机 。 

4. 启动 dhcpd 服务 


使 用 systemctl 命令 ，start 启用 服务 ，status 查看 服务 状态 : 


#systemctl1 start dhcpd.service 
#systemctl1 status dhcpd.service 


如 果 服 务 已 经 启动 ， 那 么 使 用 restart 参数 重新 启动 服务 器 : 


#systemctl1 restart dhcpd.service 


如 果 服 务 未 成 功 启 动 ， 可 以 查看 /var/log/messages 日 志文 件 的 内 容 : 

#cat /var/log/messages | grep dhcp 

命令 中 ，“|” 表 示 管 道 的 意思 ， 一 头 进入 一 头 流出 。 此 命令 的 意思 是 把 cat 命令 的 显 
示 结 果 通 过 管道 发 送 给 grep 命令 作为 输入 ，grep dhcp 会 从 输出 信息 中 把 接收 到 的 消息 中 
包含 dhcp 的 行 筛选 显示 出 来 ， 别 的 无 关内 容 就 不 显示 了 ， 这 样 看 起 来 会 重点 突出 。 

默认 DHCP 的 日 志 都 会 记录 在 /var/log/messages 文件 中 。 如 果 要 查看 已 分 配 的 卫 ， 可 
以 查看 文件 /var/lib/dhcpd/dhcpd.leases(DHCP 租约 )， 里 面 会 记录 分 配 的 人 P: 


#cat /var/lib/dhcpd/dhcpd.1leases 


要 了 解 配置 文件 的 更 详细 配置 信息 ， 可 查看 man 文档 : 


#man 5 dhcpd.conf 
#man 5 dhcp-options 








5. 设置 DHCP 服务 开机 启动 
要 设置 dhcpd 服务 开机 启动 ， 使 用 命令 : 


#systemctl] enable dhcpd.service 
如 果 要 检查 服务 是 否 的 确 已 设置 为 开机 启动 ， 可 使 用 命令 : 


#systemctl list-unit-files 
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如 果 要 取消 服务 开机 启动 ， 可 使 用 命令 : 
#systemct1l disable dhcpd.service 
6. 检查 测试 
在 另 一 台 虚 拟 机 上 配置 DHCP 客户 端 把 IP 设置 成 为 动态 获取 。 之 后 执行 这 onfig 
(Linux) 或 者 ipconfig(Windows) 查 看 是 否 申 请 到 了 正确 的 他 设置。 
#ifconfig 
7. 查看 DHCP 租约 信息 
当 用 户 租 用 到 也 后 ， 查 看 日 志 中 的 DHCP 记录 : 
#tail /var/log/messages 
查看 DHCP 租约 记录 ， 如 图 2-20 所 示 。 
#tail /var/lib/dhcpd/dhcpd/leases 


¢ The format of this file is documented 
上 This lease file was written by isc-dhc 


binding sta 
harduare etherne 





图 2-20 leases 文件 中 的 租约 信息 


还 注意 :。 如 果 客户 机 得 到 的 IP 地 址 不 是 我 们 希望 得 到 的 IP 设置 ， 说 明 网 络 中 有 别 的 
DHCP 服务 器 正在 工作 。 此 时 ， 可 以 查看 宿主 计算 机 的 服务 设置 ， 找 到 类 似 
包含 “dhcp” 的 服务 ， 把 它 关 掉 再 重新 获取 。VMware 虚拟 机 软件 默认 会 
启动 DHCP 服务 ， 如 果 无 法 获得 希望 得 到 的 IP 设置 ， 通 常 是 因为 此 服务 未 
关闭 。 


2.7 DNS 服务 器 的 配置 
2.7.1 任务 描述 
按照 公司 的 网 络 规划 设计 ， 要 在 公司 内 部 的 一 个 服务 器 上 安装 DNS 服务 ， 此 DNS 服 
务 器 除了 负责 本 公司 内 部 的 名 称 解 析 任 务 ， 公 司 用 户 对 外 界 的 域名 解析 请 求 也 要 进行 代理 


和 缓存 。 
公司 部 分 配置 信息 如 表 2-9 所 示 。 





项 目 二 常用 服务 的 配置 和 使 用 履 国有 


表 2-9 配置 信息 











主机 名 称 说 明 
ns.biem.local 
www.biem.local ns.biem.local 为 biem.local 域 的 主 DNS 服务 器 ， 
ftp.biem.local 其 他 的 3 个 名 称 为 主机 别名 


mail.biem .local 





192.168.125.1 











202.99.166.4 查询 转发 给 此 外 部 DNS 服务 器 
192.168.125.20 winl.biem local 台 Windows 主机 的 了 P 地 址 与 主机 名 
192.168.125.25 linux1.biem.local 台 Linux 主机 的 IP 地 址 与 主机 名 


2.7.2 任务 分 析 


当 DNS 服务 器 接收 到 解析 请 求 时 ， 首 先 判断 请 求 目 标 是 否 是 本 地 区 域 的 信息 请 求 ， 
如 果 是 本 地 区 域 ， 就 直接 进行 解析 ; 如 果 不 是 本 地 区 域 ， 接 下 来 会 查看 本 地 缓存 里 是 否 有 
请 求 查询 的 目标 ， 如 果 有 ， 说 明 先前 完成 过 类 似 查 询 ， 就 可 以 把 先前 的 查询 结果 直接 返回 
给 用 户 完成 任务 ， 如果 缓存 中 也 没有 目标 记录 ， 那 么 接 下 来 如 果 设 置 了 转发 服务 器 的 话 ， 
会 把 请 求 转发 给 目标 服务 器 进行 查询 ， 如 果 没 有 设置 转发 服务 器 ， 那 么 就 联系 根 域 服务 器 
进行 迭代 查询 。 
因此 ，DNS 服务 器 的 查询 顺序 是 : 
本 地 区 域 查询 一 缓存 查询 一 对 外 查询 (转发 服务 器 或 者 迭代 查询 ) 
本 任务 中 ，DNS 服务 器 要 承担 biem.local 本 地 域 的 查询 ， 对 于 对 外 界 的 查询 ， 会 转发 
给 外 部 DNS 服务 器 ， 请 求 代为 解析 。 对 于 解析 结果 ， 会 返回 用 户 并 保存 在 缓存 中 。 所 
以 ，DNS 服务 器 要 完成 此 三 项 配置 : 

(1) 配置 本 地 区 域 biem.local。 

(2) 配置 转发 服务 器 选项 。 

(3) 缓存 默认 开启 ， 不 需 进一步 配置 。 


2.7.3 ”步骤 说 明 














DNS 服务 由 BIND 提供 ， 启 动 后 服务 名 为 named， 主 要 配置 文件 为 /etc/named.conf。 
为 安全 考虑 ，BIND 采用 chroot 机 制 ， 服 务 名 为 named-chroot， 根 目录 已 经 被 变更 到 
/var/named/chroot。 

chroot 技术 俗称 “监牢 ”， 是 指 通过 chroot 机 制 来 更 改 某 个 进程 所 能 看 到 的 根 目录 ， 
即将 某 进 程 限制 在 指定 目录 中 ， 保 证 该 进程 只 能 对 该 目录 及 其 子 目录 的 文件 进行 操作 ， 从 
而 保证 整个 服务 器 的 安全 。 

作为 DNS 服务 器 ， 向 海量 用 户 提 供 域名 解析 服务 ， 知 名 度 高 ， 必 然 会 成 为 攻击 的 常 
见 目标 。 要 提供 友好 的 开放 服务 ， 也 意味 着 降低 了 自身 的 安全 防御 能 力 。 使 用 chroot“ 监 
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牢 ” 技 术 之 后 ， 攻 击 者 通过 DNS 侵入 服务 器 后 只 能 看 到 监牢 内 部 的 文件 ， 服 务 器 的 
部 分 对 攻击 者 来 说 不 可 见 、 不 存在 ， 这 样 就 保证 了 服务 器 自身 的 安全 。 
使 用 chroot 技术 后 ，DNS 服务 器 的 主要 配置 文件 包括 : 
/var/named/chroot/etc/named.conf 
DNS 主 配置 文件 ， 主 要 规范 主机 的 设 定 ，zone file 的 名 称 ， 权 限 的 设 定 等 
/var/named/chroot/etc/sysconfig/named 
存放 附加 的 一 些 参数 配置 ， 如 chroot 的 位 置 等 
/var/named/chroot/var/named/ 
区 域 文件 (zone file) 预 设 放置 的 目录 
/var/named/chroot/var/run/named/named.pid 
DNS 服务 进程 的 pid-file 
每 个 区 域 文件 (zone file) 对 应 一 个 域 的 域名 解析 信息 ， 在 DNS 的 主 配 置 文件 
named.conf 中 ， 记 录 了 每 一 个 区 域 文件 的 名 称 。 
一 个 典型 的 DNS 服务 器 一 般 包含 以 下 zone file: 
hint (root) (默认 自 带 ) 
localhost 正 向 解析 (默认 自 带 ) 
localhost 反 向 解析 (默认 自 带 ) 
此 外 ， 还 可 能 配置 一 个 或 多 个 域 的 正 向 解析 区 域 及 反 向 解析 区 域 。 
因此 ， 我 们 的 主要 工作 任务 就 是 在 主 配置 文件 named.conf 进行 整体 设置 ， 并 设 定 
biem .local 域 的 正 向 和 反 向 区 域 的 区 域 文件 ， 然 后 配置 相应 区 域 文件 。 
1. 在 chroot 环境 下 安装 BIND 软件 
使 用 “yum info bind” 检 查 DNS 服务 是 否 已 经 安装 ， 要 安装 BIND 软件 ， 并 让 它 运行 
在 chroot 环境 下 ， 只 须 安装 bind-chroot 软件 ， 其 他 软件 (包括 BIND 软件 本 身 ) 也 会 自动 进 
行 安装 ， 也 即 只 须 执 行 命令 : 


#yum install bind-chroot 


Ha 


他 








如 图 2-21 所 示 ， 除 了 bind-chroot 软件 包 外 ，yum 检查 依赖 后 发 现 还 需要 安装 bind 包 
和 bind-libs 包 ， 除 此 之 外 ， 还 有 两 个 依赖 包 需 要 更 新 升级 。 








图 2-21 安装 DNS 服务 器 bind 
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域名 服务 的 名 字 叫 named-chroot， 安 装 完成 后 ， 启 动 named-chroot 服务 ， 并 将 它 设置 


为 开机 启动 : 


#systemctl] start named-chroot 
#systemct] enable named-chroot 


上 述 命令 执行 完 后 ， 如 果 没 什么 出 现 问 题 ， 可 使 用 下 述 命令 来 验证 named-chroot 服务 





的 状态 : 


#systemctl] status named-chroot 


从 图 2-22 中 可 以 看 到 ， 当 前 DNS 服务 器 的 工作 状态 是 active(running)， 表 示 系 统 正常 


运行 中 。 


[root@localhost “ stei tatus named-chroot 
named-chroot -] ple t Name Domain (DNY 
Loaded: loaded (/usr. 
Acti active (running) s 
Main PID: 2634 med ) 
[NO A .service 
/sbin/named -u named -t /var/named/cl 


38 localho: 
38 loca lho: 
38 loca lho: 
38 localho 


named[2634]: command channel lis 
named[2634]: command channel lis 
named[2634]: managed-keys-zone: 

named [2 : zone 8.in-addr .arpa 


38 localhos 


3 
3 
23 named[26 : 2 1.8.8.8.8.8.8.9 
23:38 localhos 
3 
3 
3 


named[2 : > localhost .loca 
38 localhost named[263: > localhost/IN: 
98 localhost named[2 all zones loaded 
38 localhost named[2 : running 
lines were zed, use -1 to Show in full 
[root@localhost 一 ]# 


图 2-22 查看 DNS 服务 器 的 工作 状态 
2. 复制 配置 文件 并 保存 原配 置 文件 
(1) 复制 主 配置 文件 : 
#cp /usr/shared/doc/bind*/sample/etc/* /var/named/chroot/etc 
(2) 复制 区 域 文件 (zone file): 


#cp -r /usr/shared/doc/bind*/sample/var/named/* 
/var/named/chroot/var/named 


(3) 在 修改 配置 文件 /etc/named.conf 前 ， 先 对 其 备份 : 


#cd /var/named/chroot/etc 
#cp -a named.conf named.conf.bak 


t 
t 
t 
t 
38 localhost named[26. : zone 1.8.8.127.in-ad 
t 
t 
t 
t 





3. 配置 DNS 服务 器 


(1) 配置 主 配置 文件 /var/named/chroot/etc/named.conf。 
Q 配置 服务 监听 设置 : 


#vi /var/named/chroot/etc/named.conf 


.TAN. 


ep 





修改 以 下 内 容 : 


options { 

listen-on port 53 { any; }; 
allow-query { any’; }; 

} 


| 骨 | 说 明 : ”修改 127.0.0.1 为 any， 接 收 来 自任 意 目标 的 查询 请 求 ， 如 果 只 接受 企业 内 网 


的 查询 请 求 ， 可 以 把 内 网 的 网 络 地 址 写 在 这 里 ; allow-query 也 要 设置 为 
any; 其 他 部 分 保持 默认 。 


@ 配置 本 地 正 向 区 域 biem.local， 并 指定 zone 文件 名 称 。 
在 named.conf 文件 中 添加 “biem.local”zone 设置 语句 : 


Zone "biem.local" IN { 
type master; 
file "biem.local.zone"; 
allow-query { any; }; 
}; 


说 明 : zone "biem.local" IN { } 


用 来 进行 区 域 定义 ， 是 设 定 域 biem.local 的 语句 。 


type master; 


旨 明 本 服务 器 是 这 个 域 的 主 DNS 服务 器 ; 区 域 类 型 有 master、slave、 
cache-only 三 种 。 
file "biem.local.zone"; 
指定 这 个 域 的 配置 文件 为 /var/named/chroot/var/named/biem.local.zone。 域 内 
的 解析 记录 信息 将 在 此 文件 中 设置 。 
allow-query { any; }; 
允许 来 自任 意 也 对 这 个 域 的 解析 请 求 。 通 常 ， 开 放 的 DNS 服务 器 是 向 所 有 
人 提供 服务 的 ， 但 有 的 服务 器 会 指定 服务 人 群 ， 比 如 只 对 企业 内 部 用 户 提供 
服务 ， 这 是 可 以 设置 允许 查询 (allow-query) 的 用 户 范围 。 


@ 配置 反 向 区 域 125.168.192.in-addr.arpa， 指 定 zone 文件 名 称 。 
在 named.conf 文件 中 添加 “125.168.192.in-addr.arpa”zone 设置 语句 : 


zone "125.168.192.in-addr.arpa" IN { 
type master; 
file "192.168.125.zone"; 

ER 


说 明 : Zone "125.168.192.in-addr.arpa" IN { } 


/TA. 


用 来 进行 区 域 定义 ， 反 向 区 域名 称 是 网 络 地 址 的 反 向 书写 。 本 地 网 络 地 址 是 
192.168.125.0/24， 把 网 络 地 址 反 过 来 写 就 是 125.168.192。 在 后 面 再 加 上 反 
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向 域名 后 级 “.in-addr.arpa”。 
type master; 

间 明 本 服务 器 是 这 个 域 的 主 DNS 服务 器 ; 反 向 区 域 类 型 一 样 也 有 master、 
slave、cache-only 三 种 。 
file "192.168.125.zone"; 
指定 这 个 域 的 配置 文件 为 /var/named/chroot/var/named/192.168.125.zone。 域 
内 的 解析 记录 信息 将 在 此 文件 中 设置 。 


@ 转发 服务 器 设置 (202.99.166.4): /var/named/chroot/etc/named.conf 


forward first; 
forwarders { 
ZUZ.99 0606-4 
}; 


出 说 明 : forward first; 
设 定 DNS 服务 器 的 工作 模式 ， 在 自己 管理 的 区 域 和 缓存 区 查找 不 到 解析 记 
录 后 ， 优 先 向 转发 服务 器 查询 ， 而 不 是 尝试 自己 向 根 DNS 服务 器 进行 反复 
查询 。 
forwarders { 202.99.166.4;7}; 
设 定 转发 服务 器 的 位 置 。 与 上 一 句 配合 使 用 。 


配置 转发 优先 ， 当 接收 到 查询 请 求 时 ， 会 先 转发 到 forwarders 指定 的 DNS， 查 不 到 再 
执行 递归 。 当 然 ， 在 转发 之 前 ， 还 会 先 查 本 地 缓存 。 这 将 设置 本 服务 器 成 为 代理 服务 器 ， 
若 不 打算 配置 为 代理 服务 器 ， 此 设置 可 不 配 。 

(2) 编写 设置 正 向 解析 区 域 biem.local 的 区 域 配置 文件 。 

先前 在 主 配置 文件 named.conf 中 定义 了 一 个 正 向 解析 的 域 biem.local， 指 定 了 此 区 域 
的 配置 文件 是 biem.local.zone; 所 以 也 要 设 定 这 个 域 的 配置 文件 biem.local.zone。 在 工作 目 
录 /var/named/chroot/var/named 下 创建 这 个 配置 文件 ， 并 将 它 的 内 容 修改 成 如 下 所 示 : 


#vi /var/named/chroot/var/named/biem.local.zone 








中 区 域 设 置 : 
SORIGIN biem.local. 
$TTL 86400 
@ IN SOA ns.biem.local. admin.biem.local ( 
2017020101 
21600 
3600 
604800 
86400 ) 


说 明 : ”zone 的 配置 文件 中 ， 是 以 分 号 来 作为 批注 语句 标识 符 的 ， 即 注释 标记 。 
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修改 这 个 配置 文件 时 ， 要 注意 ， 名 称 最 后 面 没有 加 句点 的 是 主机 名 ， 最 后面 
加 了 句点 的 是 全 称 域名 (Fully Qualified Domain Name，FQDN)。 
$ORIGIN 后 面 填 域名 。 下 面 的 @ 符 号 会 引用 这 里 填写 的 值 。 如 果 不 填 ， 则 会 
引用 主 配 置 文件 中 zone 语句 后 面 的 值 。 

STTL 表示 生存 时 间 (Time To Live) 值 ， 表 示 当 其 他 DNS 查询 到 本 zone 的 
DNS 记录 时 ， 这 个 记录 能 在 它 的 DNS 缓存 中 存在 多 久 ， 单 位 为 秒 。24 小 时 
x60 分 钟 /小 时 x60 秒 /分 钟 =86400 秒 ， 就 是 说 ， 设 置 的 生存 时 间 是 24 小 时 。 
起 始 授权 (Start of Authority，SOA)， 表 明 此 DNS 名 称 服务 器 是 为 该 DNS 
域 中 的 数据 的 信息 的 最 佳 来 源 。 后 面 的 两 个 参数 分 别 是 主 DNS 服务 器 主机 
名 和 管理 者 邮箱 。 因 为 @ 符 号 有 特殊 含义 ， 所 以 写成 这 样 。 

括号 内 的 第 一 个 参数 是 序号 ， 代 表 本 配置 文档 的 新 旧 ， 序 号 越 大 ， 表 示 越 
新 。 每 次 修改 本 文档 后 ， 都 要 将 这 个 值 改 大 。 

第 二 个 参数 是 刷新 频率 ， 表 示 slave 隔 多 久 会 跟 master 比 对 一 次 配置 档案 ， 
单位 为 秒 。21600 秒 就 是 6 个 小 时 。 如 果 比 对 发 现 主 服务 器 比 自己 的 序号 
新 ， 那 么 就 进行 区 域 更 新 。 

第 三 个 参数 是 失败 重新 尝试 时 间 ， 单 位 为 秒 。3600 秒 是 一 个 小 时 。 此 设置 
表示 刷新 如 果 失 败 ， 一 小 时 后 重 试 。 

第 四 个 参数 是 失效 时 间 ， 单 位 为 秒 。604800 秒 等 于 7 天 ， 此 设置 表示 ， 当 
主 服 务 器 不 工作 7 天 后 ， 它 也 将 停止 服务 。 如 果 主 服务 器 升级 或 者 搬迁 或 者 
故障 ， 一 般 也 用 不 了 这 么 长 时 间 。 

第 五 个 参数 表示 其 他 DNS 服务 器 能 缓存 否定 回答 的 时 间 ， 单 位 为 秒 。 否 定 
回答 指 的 是 查询 记录 在 区 域 文 件 中 不 存在 。 


@ 添加 解析 记录 : 


@ IN NS ns.biem.local. 
@ IN MX 10 mail.biem.local. 
ns IN A L92160:125= 
mail IN CNAME ns.biem.local. 
ww IN CNAME ns.biem.local. 
ftp IN CNAME ns.biem.local. 
winl IN A 192.168.125.20 
linuxl IN A L9269125.25 
说 明 : ”类 型 NS 定义 指定 域 的 DNS 服务 器 主机 名 (如 ns.biem.local)， 不 管 是 主 DNS 
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还 是 从 DNS。 

类 型 A 定义 指定 主机 (如 ns) 的 人 P 地 址 。 如 果 是 使 用 的 是 IPv6 地 址 ， 则 需 使 
用 类 型 AAAA。 

类 型 MX 定义 指定 域 的 邮件 服务 器 主机 名 (如 mail.biem.local)。MX 后 面 的 数 
字 为 优先 级 ， 越 小 越 优 先 。 同 样 的 优先 级 值 则 可 以 在 多 台 邮 件 服务 器 之 间 进 


项 目 二 常用 服务 的 配置 和 使 用 倒 天 
行 负载 分 担 。 
类 型 CNAME 用 于 定义 别名 。 通 常用 于 同一 台 主机 提供 多 个 服务 的 情况 。 当 
要 解析 WWW、FTP、Mail 三 种 卫 时 ， 会 解析 成 主机 ns.biem.local 的 IP。 
可 以 直接 设 定 某 一 台 主 机 (如 forum.biem.local) 的 P。 同 一 台 主 机 (如 
travelbiem local) 也 可 以 设 定 多 个 卫 。 


(3) 编写 设置 反 向 解析 区 域 125.168.192.in-addr.arpa 的 区 域 配置 文件 。 

先前 在 主 配置 文件 named.conf 中 ， 定 义 了 一 个 反 向 解析 的 域 125.168.192.in- 
addr.arpa， 指 定 了 此 区 域 的 配置 文件 是 192.168.125.zone， 所 以 也 要 设 定 这 个 域 的 配置 文件 
192.168.125.zone。 

在 工作 目录 /var/named/chroot/var/named 下 创建 这 个 配置 文件 ， 并 将 它 的 内 容 修改 成 如 
下 所 示 : 


#vi /var/named/chroot/var/named/biem.1local.zone 





@ 区 域 设 置 : 
SORIGIN 125.168.192.in-addr.arpa 
$TTL 86400 
@ IN SOA ns.biem.local. admin.biem.local ( 
2017020101 
21600 
3600 
604800 
86400 ) 


配置 说 明 略 ， 此 部 分 功能 与 正 向 区 域 一 样 。 
@ ”添加 解析 记录 : 


125.168.192.in-addr.arpa. IN NS biem.local. 

1.125.168.192.in-addr.arpa. IN PTR ns.biem.local. 

20.125.168.192.in-addr.arpa. IN PTR winl.biem.local. 

25.125.168.192.in-addr.arpa. IN PTR linuxl.biem.local. 
说 明 : ”类 型 NS 定义 指定 网 络 地 址 对 应 的 域名 (如 biem.local.)。 

类 型 PTR 定义 指定 卫 地 址 指向 的 主机 域名 。 

4. 重新 启动 named 服务 ， 让 配置 生效 

执行 以 下 命令 : 

#systemctl] restart named-chroot 

#systemctl info named-chroot 


如 果 服 务 无 法 正常 启动 ， 通 常 是 配置 过 程 中 出 现 了 语法 错误 ， 请 自行 检查 ， 或 者 执行 
命令 查看 具体 错误 信息 : 


#journalctl] -xe 
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5. 配置 客户 端 ， 测 试 named 服务 

(1) Linux 客户 端 配 置 。 

在 要 配置 的 CentOS 7 客户 计算 机 上 ， 编 辑 /etc/sysconfig/network-scripts/ifcfg- 并 ## 霸 网 
络 配置 文件 ， 修 改 DNS 服务 器 设置 ， 把 DNS 服务 器 设置 设 定 为 安装 了 DNS 服务 的 服务 
器 卫 地址 : 


#vi /etc/sysconfig/network-scripts/ifcfg-##### 
DNS1=192.168.125.1 


保存 并 退出 后 ， 重 启 NetworkManager 服务 : 

#systemctl restart NetworkManager.service 

如 果 当 前 操作 系统 不 是 CentOS 7 操作 系统 ， 可 以 修改 /etc/resolv.conf， 把 配置 的 DNS 
服务 器 卫 地 址 添加 到 文件 中 : 

nameserver 192.168.125.1 

设置 完成 后 ， 客 户 机 进行 域名 解析 时 ， 就 会 到 我 们 配置 的 服务 器 上 进行 解析 了 。 

继续 之 前 ， 测 试 一 下 网 络 连 通 性 : 

#ping -c 3 192.168.125.1 

如 果 网 络 畅通 ， 就 可 以 进行 域名 解析 测试 了 。 

(2) Windows 客户 端 设置 。 

在 网 络 设置 中 把 TCP/IPv4 设置 中 的 DNS 服务 器 地 址 设 定 为 192.168.125.1， 如 图 2-23 
所 示 。 





如 果 网 阁 训 持 此 功能 , 则 可 以 芭 取 自动 拉 浙 的 IP 设置 否则 ,你 需要 从 网 
佬 系统 管理 员 处 获得 适当 的 IP 设置 


口 自动 于 得 让 地 址 (O) 
@ 使用 下 而 的 人 P 地 址 (S} 


TIp 地 址 四 192 . 168 .1 .200 
255 . 255 .255 . 0 


192.168. 1 .1 


192 . 168 . 125 .1 


[ET 
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把 Windows 计算 机 的 DNS 服务 器 指向 刚 配置 好 的 服务 器 ， 然 后 在 命令 行 执行 命令 ， 
测试 网 络 连通 性 : 
Ping 192.168.125.1 


(3) 进行 DNS 解析 ， 测 试 服务 器 功能 。 
测试 DNS 服务 器 ， 需 要 bind-utils 包 里 面 自 带 的 命令 ， 如 果 没有 安装 ， 就 安装 一 下 
bind-utils 包 ， 如 图 2-24 所 示 。 


#yum install bind-utils 
#rpm -ql bind-utils 


[rootB@liuxuegong1 ~]# rpm -ql bind-util 
etc/trusted-key .key 
bin/dig 
host 


manl/dig .1.92 
s/man/manl/host .1.g 
:/man/manl/nslookup .1.gz 


>/man/manl/nsupdate .1.gz 
[rootB1liuxuegong1 ~]# 





图 2-24 bind-utils 包 的 信息 


可 以 看 出 ， 工 具 包 中 包含 了 三 个 测试 DNS 服务 的 命令 ，dig/host/nslookup， 功 能 类 
似 ， 我 们 可 以 任 选 一 个 ， 这 里 使 用 host 作为 示例 。 

在 Windows 环境 下 ， 可 以 使 用 “nslookup 域名 或 者 人 P 地 址 ”进行 解析 。 

host 命令 不 仅 能 够 用 来 查询 域名 ， 而 且 可 以 得 到 其 他 更 多 相关 的 信息 。 

例如 ，host 命令 的 用 法 : 


#host www.biem.local 
查询 域名 www .biem.1local 对 应 的 IP 地 址 ( 正 向 查询 ) 
#host 192.168.125.1 
查询 IP 地 址 对 应 的 域名 ( 反 向 查询 ) 
#host -t mx biem.local 
查询 biem. local 的 MX 记录 ， 以 及 处 理 Mail 的 Host 的 名 字 
#host -1 biem.local 
查询 所 有 注册 在 biem. local 下 的 域名 
#host -a biem.local 


查询 这 个 主机 的 所 有 域名 信息 
在 客户 计算 机 上 运行 如 下 命令 ， 测 试 DNS 解析 是 否 能 正常 运行 ， 如 图 2-25 所 示 。 


#host ns.biem.local 
#host www.biem.local 
#host ftp.biem.local 
#host mail.biem.local 
#host winl.biem.local 
#host linuxl.biem.local 
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图 2-25 查询 域名 ， 测 试 DNS 服务 器 


接 下 来 测试 反 向 区 域 192.168.125.zone， 执 行 命令 “host IP 地 址 ”进行 反 向 解析 : 


#host 192 168>125:1 
#host 192.168.125.20 
#host 192>1005125.25 


任务 三 : 配置 Web 服务 器 


在 这 一 部 分 中 ， 我 们 要 关注 三 个 问题 : Web 服务 器 是 什么 ? 为 什么 要 使 用 Web 服务 
器 ? 怎样 配置 和 管理 Web 服务 器 ? 


知识 储备 
2.8 Web 服务 器 是 什么 /为 什么 要 使 用 Web 服务 器 


Web 服务 就 是 平常 我 们 说 的 网 站 服务 ， 是 最 为 流行 的 网 络 服 务 ， 为 人 们 提供 网 站 发 布 
运行 的 基础 平台 。 

Web 服务 器 软件 就 是 提供 网 页 (Web) 服 务 的 软件 。 我 们 制作 的 网 站 页 面 就 像 店铺 里 面 
的 商品 ， 把 它们 放 到 店铺 里 ， 就 可 以 进行 销售 了 。 通 常 说 的 Web 服务 器 ， 就 像 现 实 中 
的 “商铺 店面 + 进货 仓储 + 运营 销售 + 商品 ”一 样 ， 大 致 相当 于 “服务 器 硬件 + 服务 器 操作 
系统 +Web 服务 器 软件 + 网 站 软件 ”的 集成 产物 ， 而 Web 服务 器 软件 是 这 块 拼图 中 的 关键 
二 于。 

从 功能 上 看 ，Web 服务 器 软件 类 似 于 商家 与 顾客 的 关系 ， 服 务 器 是 商家 ， 是 提供 服务 
的 角色 ， 而 网 站 的 访问 者 则 是 顾客 ， 是 请 求 服务 、 接 受 服务 、 购 买 服务 的 角色 。 在 一 台 服 
务 器 上 ， 可 能 提供 多 种 网 络 服务 ， 就 像 大 商场 里 的 很 多 柜台 店面 一 样 ， 为 了 区 分 这 些 服 
务 ， 就 像 为 每 个 公民 颁发 身份 证 标识 一 样 ， 计 算 机 也 为 每 个 服务 提供 不 同 的 标识 ， 称 为 
“端口 地 址 ”， 选 择 范围 从 0 到 65535。 对 于 常用 服务 ， 规 定 了 默认 的 端口 地 址 ，Web 服 
务 的 端口 地 址 编号 默认 是 80。 当 “网 络 邮包 ”投递 到 达 时 ， 只 要 查看 端口 地 址 ， 就 知道 是 
哪个 服务 的 “邮包 ”了 

“端口 地 址 ”用 来 标识 服务 器 上 的 服务 ， 类 似 地 ， 用 来 标识 每 个 联网 主机 的 是 “IP 地 
址 ”。 每 个 服务 器 都 至 少 具 有 一 个 IP 地 址 ， 来 作为 自己 在 互联 网 上 的 唯一 标识 。 通 过 人 P 
地 址 + 端口 地 址 ， 我 们 就 可 以 定位 和 访问 指定 服务 器 上 的 Web 服务 器 了 。 用 户 的 他 地 址 通 
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常 是 动态 获取 的 ， 每 次 联网 都 会 随机 获取 ， 几 乎 次 次 不 同 ， 而 服务 器 的 P 地 址 通常 是 固定 
不 变 的 。 就 像 你 可 以 四 处 旅行 ， 但 提供 服务 的 商场 是 不 能 四 处 跑 动 的 ， 对 商场 来 说 ， 搬 一 
次 家 ， 通 常 就 要 遗失 大 量 的 客户 。 
当 我 们 访问 一 个 Web 服务 器 时 ， 就 像 到 达 了 一 个 商场 ; 当 访 问 网 站 时 ， 就 像 是 到 达 了 
商场 里 卖 不 同类 型 商品 的 店铺 ; 当 打 开 一 个 页 面 时 ， 就 如 同 购买 了 一 件 商品 。 所 以 ， 当 打 
开 一 个 网 页 的 时 候 ， 已 经 无 意 中 提供 了 三 个 要 素 : 服务 器 标识 、 服 务 标识 、 网 页 标识 。 当 
在 浏览 器 地 址 栏 输入 地 址 时 ，URL 地 址 包含 了 这 些 要 素 。 浏 览 器 会 向 服务 器 发 送 电子 邮 
包 ， 在 邮包 上 标记 了 收 件 人 信息 和 发 件 人 信息 。 当 邮包 到 达 服 务 器 的 时 候 ， 意 味 着 用 户 的 
“购买 ”请 求 到 达 了 商场 ; 通过 服务 标识 ， 这 个 “购买 ”的 请 求 会 转送 到 对 应 的 商铺 ; 通 
过 网 页 标识 ， 商 铺 会 对 对 应 的 网 页 (商品 ) 进 行 处 理 ， 然 后 发 货 给 请 求 的 用 户 。 用 户 接收 到 
网 页 后 ， 显 示 在 浏览 器 中 ， 我 们 就 看 到 了 网 页 的 内 容 。 

目前 ， 互 联网 网 站 的 数量 超过 百 万 。 按 照 网 站 主体 性 质 的 不 同 ， 可 以 分 为 政府 网 站 、 
企业 网 站 、 商 业 网 站 、 教 育 科 研 机 构 网 站 、 个 人 网 站 等 。 各 种 主体 需求 不 同 ， 网 站 也 就 有 
不 同 的 功能 差别 。 可 以 说 ， 在 这 样 的 信息 社会 ， 任 何 企业 、 组 织 、 团 体 甚至 个 人 都 有 必要 
建立 各 自 的 Web 站 点 。 

1. 产品 查询 展示 型 网 站 

本 类 网 站 核心 目的 是 推广 产品 (服务 )， 是 企业 的 产品 “展示 框 ”。 利 用 网 络 的 多 媒体 
技术 、 数 据 库 存储 查询 技术 、 三 维 展示 技术 ， 配 合 有 效 的 图 片 和 文字 说 明 ， 将 企业 的 产品 
(服务 ) 充 分 展现 给 新 老 客户 ， 使 客户 能 全 方位 地 了 解 公司 产品 。 与 产品 印刷 资料 相 比 ， 网 
站 可 以 营造 更 加 直观 的 氛围 和 产品 的 感染 力 ， 促 使 商家 及 消费 者 对 产品 产生 采购 欲望 ， 从 
而 促进 企业 销售 。 

2. 品牌 宣传 型 网 站 

本 类 网 站 非常 强调 创意 设计 ， 但 不 同 于 一 般 的 平面 广告 设计 。 网 站 利用 多 媒体 交互 技 
术 ， 动 态 网 页 技术 ， 配 合 广告 设计 ， 将 企业 品牌 在 互联 网 上 发 挥 得 淋漓 尽 致 。 本 类 型 网 站 
着 重 展 示 企 业 CI、 传 播 品 牌 文化 、 提 高 品牌 知名 度 。 对 于 产品 品牌 众多 的 企业 ， 可 以 单独 
建立 各 个 品牌 的 独立 网 站 ， 以 使 市 场 营销 策略 与 网 站 宣传 统一 。 


3. 企业 电子 商务 网 站 

通过 互联 网 让 企业 对 外 工作 ， 提 供 远程 、 及 时 、 准 确 的 服务 ， 是 本 类 网 站 的 核心 目 
标 。 本 网 站 可 实现 渠道 分 销 、 终 端 客户 销售 、 合 作 伙 伴 管理 、 网 上 采购 、 实 时 在 线 服务 、 
物流 管理 、 售 后 服务 管理 等 ， 它 将 更 进一步 优化 企业 现 有 的 服务 体系 ， 实 现 公 司 对 分 公 
司 、 经 销 商 、 售 后 服务 商 、 消 费 者 的 有 效 管理 ， 加 速 企 业 的 信息 流 、 资 金 流 、 物 流 的 运转 
效率 ， 降 低 企 业经 营 成 本 ， 为 企业 创造 额外 收益 ， 降 低 企业 的 经 营 成 本 。 

4. 网 上 购物 型 网 站 


通俗 的 说 ， 就 是 实现 网 上 买卖 商品 ， 购 买 的 对 象 可 以 是 企业 (B2B)， 也 可 以 是 消费 者 
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(B2C)。 为 了 确保 采购 成 功 ， 该 类 网 站 需要 有 产品 管理 、 订 购 管理 、 订 单 管理 、 产 品 扒 
荐 、 支 付 管理 、 收 费 管理 、 送 发 货 管理 、 会 员 管理 等 基本 系统 功能 。 复 杂 的 物品 销售 、 网 
上 购物 型 网 站 还 需要 建立 积分 管理 系统 、VIP 管理 系统 、 客 户 服务 交流 管理 系统 ， 商 品 销 
售 分 析 系统 以 及 与 内 部 进 销 存 (MIS、ERP) 打 交道 的 数据 导入 导出 系统 等 。 本 类 型 网 站 可 以 
开辟 新 的 营销 渠道 ， 扩 大 市 场 ， 同 时 ， 还 可 以 接触 最 直接 的 消费 者 ， 获 得 第 一 手 的 产品 市 
场 反馈 ， 有 利于 市 场 决策 。 

5. 企业 门户 综合 信息 网 站 

本 类 网 站 是 所 有 各 企业 类 型 网 站 的 综合 ， 是 企业 面向 新 老 客户 、 业 界 人 士 及 全 社会 的 
窗口 ， 是 目前 最 普遍 的 形式 之 一 。 该 类 网 站 将 企业 的 日 常 涉外 工作 上 网 ， 其 中 包括 营销 、 
技术 支持 、 售 后 服务 、 物 料 采购 、 社 会 公共 关系 处 理 等 。 该 类 网 站 涵盖 的 工作 类 型 多 ， 信 
息 量 大 ， 访 问 群体 广 ， 信 息 更 新 需要 多 个 部 门 共同 完成 。 企 业 综合 门户 信息 网 站 有 利于 社 
会 对 企业 的 全 面 了 解 ， 但 不 利于 突出 特定 的 工作 需要 ， 也 不 利于 展现 重点 。 

6. 沟通 交流 平台 

这 种 系统 利用 互联 网 ， 将 分 布 在 全 国 的 生产 、 销 售 、 服 务 和 供应 等 环节 联系 在 一 起 ， 
改变 过 去 利用 电话 、 传 真 、 信 件 等 传统 沟通 方式 ， 可 以 对 不 同 部 门 、 不 同 工 作 性 质 的 用 户 
建立 无 限 多 个 个 性 化 的 网 站 ， 提 供 内 部 信息 发 布 、 管 理 、 分 类 、 共 享 等 功能 ， 汇 总 各 种 生 
产 、 销 售 、 财 务 等 数据 ， 提 供 内 部 邮件 、 文 件 传递 、 语 音 、 视 频 等 多 种 通信 交流 手段 。 
7. 政府 门户 信息 网 站 
利用 政务 网 (或 称 政府 专 网 ) 和 内 部 办 公 网 络 而 建立 的 内 部 门户 信息 网 ， 是 为 了 方便 办 
区 域 以 外 的 相关 部 门 (或 上 、 下 级 机 构 ) 互 通信 息 、 统 一 数据 处 理 、 共 享 文件 资料 而 建立 
的 。 主 要 包括 如 下 功能 :提供 多 数据 源 的 接口 ， 实 现 业务 系统 的 数据 整合 ， 统 一 用 户 管 
理 ， 提 供 方便 有 效 的 访问 权限 和 管理 权限 体系 ， 可 以 方便 地 建立 二 级 子 网 站 和 部 门 网 站 
实现 复杂 的 信息 发 布 管理 流程 。 


2.9 Web 服务 器 的 选择 


世界 上 Web 服务 器 排 在 前 三 位 的 是 Apache、Nginx、Microsoft IS。 这 里 主要 关注 的 
是 Apache 和 Nginx。 图 2-26 是 Netcraft 的 统计 报告 ， 在 全 世界 活动 站 点 的 占 比 中 ， 
Apache 八 千 多 万 的 使 用 量 遥 遥 领 先 ， 接 近 半 数 ， Nginx 的 三 千 多 万 用 户 也 具有 极 大 影响 。 

Apache 是 世界 排名 第 一 的 Web 服务 器 软件 。 它 可 以 运行 在 几乎 所 有 广泛 使 用 的 计算 
机 平台 上 ， 由 于 其 跨 平台 和 安全 性 被 广泛 使 用 ， 是 最 流行 的 Web 服务 器 端 软 件 之 一 。 

Apache 起 初 由 美国 伊利 诺 伊 大 学 香槟 分 校 的 国家 超级 电脑 应 用 中 心 (NCSA) 开 发 。 此 
后 ，Apache 被 开放 源 代码 团体 的 成 员 不 断 地 发 展 和 加 强 。Apache 取 自 a patchy server 的 读 
音 ， 意 思 是 充满 补丁 的 服务 器 ， 因 为 它 是 自由 软件 ， 所 以 不 断 有 人 来 为 它 开 发 新 的 功能 、 
新 的 特性 、 修 改 原来 的 缺陷 。Apache 服务 器 拥有 牢靠 可 信 的 美誉 ， 几 乎 所 有 最 热门 和 访问 
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量 最 大 的 网 站 都 使 用 Apache 服务 器 。 


Web server developers: Market share of active sites 
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Developer October 2016 Percent November 2016 Percent Change 


Apache 82,052,688 46.30% 80,012,251 46.67% 0.37 

nginx 32,968,259 18.60% 31,239,615 18.22% -0.38 
Microsoft 16,434,903 9.27% 15,257,724 8.90% -0.37 
Google 14,396,867 8.12% 13,607,864 7.94% -0.19 


2-26 ”Netcraft 对 网 络 服务 器 的 调查 数据 


Nginx(engine x) 是 一 款 轻 量 级 的 Web 服务 器 ， 其 特点 是 占有 内 存 少 ， 并 发 能 力 强 。 
内 也 有 很 多 使 用 Nginx 的 网 站 用 户 。 
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国内 各 大 网 站 所 使 用 的 Web 服务 器 如 表 2-10 所 示 ， 多 数 是 基于 或 者 直接 使 用 Apache 
与 Nginx。 
表 2-10 国内 各 大 网 站 使 用 的 服务 器 

网 站 URL Server 
百度 http://www.baidu.com BWS、 Apache 
新 浪 http://www.sina.com.cn Apache、MediaV、Nginx 
搜狐 http://www.sohu.com Apache、SWS、Nginx 
网 易 Neinx, Apache 
淘宝 http://www.taobao.com Tengine、Apache、Nginx 
京东 http://www.360buy.com JDWS、Apache 
土豆 http://www.tudou.com TWS 0.3、Nginx 
迅雷 http://www.xunlei.com Nginx 
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Apache 具备 成 熟 的 技术 ， 出 色 的 性 能 ， 完 备 的 功能 ， 最 好 的 支持 ， 适 合 任何 环境 下 的 
需要 。 与 Apache 相 比 ，Nginx 使 用 更 少 的 资源 ， 支 持 更 多 的 并 发 连接 ， 体 现 更 高 的 效 
率 ， 这 点 使 Nginx 尤其 受到 虚拟 主机 提供 商 的 欢迎 。Nginx 是 目前 广 受 好 评 的 Web 服务 
器 ， 保 持 着 快速 的 增长 。 


任务 实践 





2.10 安装 配置 Apache Web 服务 器 
2.10.1 任务 描述 


为 了 业务 需要 ， 公 司 需 要 建立 企业 网 站 ， 作 为 企业 形象 的 宣传 工具 。 此 外 ， 人 事 部 和 
市 场 部 也 需要 建立 自己 的 网 站 ， 作 为 业务 平台 使 用 。 
由 于 暂时 只 有 一 个 服务 器 购买 到 位 ， 因 此 ， 三 个 网 站 暂时 都 部 署 在 这 台 服 务 器 上 (IP 
地 址 : 192.168.125.1)， 如 表 2-11 所 示 。 
表 2-11 服务 器 部 署 信息 


服务 器 信息 
公司 业务 门户 站 点 
人 事 部 站 点 ， 企 业内 部 专用 
市 场 部 站 点 ， 企 业内 部 专用 
假定 公司 域名 是 testl.com， 企 业 所 属 网 段 是 192.168.125.0/24。 


2.10.2 任务 分 析 


















服务 器 名 称 
企业 Web 站 点 
人 事 部 Web 站 点 
市 场 部 Web 站 点 


部 署 服务 器 域名 


Www.testl .com 











hr.testl .com 





mk.testl .com 


为 了 节省 费用 和 提高 服务 器 的 利用 效率 ， 可 以 在 一 台 机 器 上 建立 出 多 台 “ 主 机 ”。 每 
个 主机 都 能 对 外 提供 Web 服务 ， 在 外 界 看 来 是 些 不 同 的 网 站 ， 但 对 服务 器 而 言 ， 看 似 不 同 
的 网 站 ， 其 实 都 是 运行 于 同一 台 主 机 之 上 的 不 同 的 虚拟 主机 而 已 。 

如 何 配置 虚拟 主机 呢 ? Apache 的 虚拟 主机 功能 是 非常 强大 的 ， 而 且 配置 很 简单 。 主 要 
分 为 基于 IP、 基 于 端口 和 基于 域名 的 虚拟 主机 。 

如 果 拥 有 很 多 人 P 地 址 ， 那 么 就 可 以 为 每 个 虚拟 主机 都 分 配 一 个 不 同 的 人 P 地 址 ， 这 
样 ， 每 个 网 站 都 可 以 使 用 默认 的 端口 80。 

如 果 只 有 少量 公 网 人 P 地 址 ， 那 么 就 可 以 使 用 不 同 的 端口 作为 标识 ， 让 不 同 的 端口 访问 
不 同 的 虚拟 主机 。 

如 果 所 属 DNS 域名 服务 器 配置 好 了 ， 也 可 以 使 用 域名 来 区 分 不 同 的 站 点 ， 来 实施 基 
于 域名 的 虚拟 主机 。 
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2.10.3 配置 步骤 说 明 


果 没 有 安装 ， 则 需要 先 安装 此 


yum 











安装 前 ， 为 了 防止 防火 墙 和 其 他 安全 设置 影响 实验 ， 执 行 以 下 命令 。 
(1) 如 果 开启 了 iptables 防火 墙 ， 可 以 用 systemctl stop iptables 关闭 。 
(2) 如 果 开 启 了 firewalld 防火 墙 ， 可 以 用 systemectl stop firewalld 关闭 。 
(3) 如 果 开 启 了 SELinux 功能 ， 可 以 用 setenforce 0 临时 关闭 SELinux。 





#sYstemct1 stop iptables 
#systemctl1 stop firewalld 
#setenforce 0 


1. Apache Web 服务 器 的 安装 和 测试 


(1) 安装 Web 服务 器 。 
Apache Web 服务 器 的 服务 名 和 软件 包 名 称 是 httpd。 首 先 ， 检 查 此 软件 是 否 安装 ， 如 
软件 ， 如 图 2-27 所 示 。 


#yum info httpd 
#yum install httpd 


Package Arch 


Installing 
httpd 
Installing for dependenci 


apr 


apr-util 
httpd-tool 
mailcap 
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httpd 还 需要 4 个 辅助 包 ， 分 别 是 apr、apr-util、httpd-tools、mailcap， 要 一 并 安装 。 
(2) 启动 Apache 服务 ， 并 设置 为 系统 启动 时 自动 启动 ; 

# Systemct1 start httpd.service 

# systemctl] enable httpd.service 

(3) 测试 Apache 服务 器 。 

新 建 一 个 网 页 文件 index.html， 存 放 到 /var/www/html 目录 下 ， 内 容 任意 。 

用 lynx 命令 行 浏 览 器 工具 ， 来 测试 Apache Web 服务 器 。 如 果 尚 未 安装 lynx， 可 使 用 
#echo "hello">/var/www/html/index.html 

#yum info lynx 


#yum install lynx 
# yn 27 00 
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如 果 能 看 到 默认 Web 页 ， 如 图 2-28 所 示 ， 则 说 明 Web 服务 安装 成 功 ， 可 正常 运行 。 


2-28 测试 httpd 服务 
2. 默认 网 站 的 基本 设置 
Apache 网 页 服务 器 的 主 配置 文件 是 /etc/httpd/conf/httpd.conf， 这 个 文件 包含 下 面 三 个 


全 局 环境 设置 ， 控 制 整个 Apache 服务 器 行为 的 部 分 ( 即 全 局 环境 变量 )。 

@ 主 服务 器 配置 : 定义 主要 或 者 默认 服务 参数 的 指令 ， 也 为 所 有 虚拟 主机 提供 默认 
的 设置 参数 。 

@ 虚拟 主机 设置 虚拟 主机 的 设置 参数 。 

其 中 ， 一 行 写 不 下 使 用 “\” 表 示 换 行 ， 除 了 选项 的 参数 值 外 ， 所 有 选项 指令 不 区 分 大 

小 写 ，“# ”表示 注释 。 
(1) 备份 原配 置 文件 ， 再 进行 修改 : 
#cd /etc/httpd/conf 


#cp httpd.conf httpd.conf.bak 
#vi httpd.conf 


DocumentRoot "“/var/www/html" 
DirectoryIndex index.html index.htm 
Listen 80 
AddDefaultCharset GB2312 
<Directory "/var/www/html"> 
AllowOverride none 
Require all granted 
</Directory> 


出 说 明 : DocumentRoot 语句 用 来 定义 主 目录 ， 默 认 值 是 /Var/www/html。 也 就 是 说 ， 
要 发 布 自己 的 站 点 ， 可 以 把 站 点 文件 复制 到 /Var/www/html 目录 下 ; 或 者 改 
变 主 目录 的 设置 ， 修 改 到 你 的 网 站 目录 。 
DirectoryIndex 语句 用 来 设置 默认 文档 ， 当 我 们 访问 网 站 时 ， 通 常 并 不 写 明 
具体 访问 哪 一 个 网 页 文件 。 在 浏览 器 中 ， 输 入 Web 站 点 的 IP 地 址 或 域名 ， 
显示 出 来 的 就 是 网 站 默认 Web 页 面 。 此 语句 一 般 会 设置 多 个 网 页 名 称 ， 当 
用 户 访问 时 ， 会 按照 设 定 顺序 进行 查找 ， 第 一 个 被 找到 的 页 面 就 作为 默认 文 
档 交 给 用 户 访问 。 

Listen 语句 用 来 配置 Apache 监听 的 了 P 地 址 和 端口 号 ， 如 果 不 设 定 基于 也‘ 地 
址 的 虚拟 主机 ，IP 地址 通常 省 略 ， 端 口号 默认 是 80。 
AddDefaultCharset 用 来 设置 默认 字符 集 ，GB2312 是 简体 中 文 ， 可 避免 出 现 
中 文 乱码 。 
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Directory 语句 用 来 定义 目录 的 访问 限制 。 上 例 的 这 个 设置 是 针对 系统 的 根 目 
录 进 行 的 ， 使 用 AllowOverride None 表示 不 允许 这 个 目录 下 的 访问 控制 文 
件 .htaccess 来 改变 这 里 进行 的 配置 ， 这 个 设置 可 以 提升 网 站 效率 。 

Require 语句 用 来 根据 客户 的 来 源 控制 访问 ，all granted 表示 允许 所 有 的 客户 
机 访问 这 个 目录 ， 而 不 进行 任何 限制 。 


(2) 单独 创建 虚拟 主机 的 配置 文件 。 

创建 虚拟 主机 时 ， 可 以 直接 修改 /etc/httpd/conf/httpd.conf 文件 。 但 是 由 于 主 配置 文件 
比较 长 ， 也 比较 重要 ， 因 此 ， 建 议 单 独 建立 一 个 文件 来 配置 虚拟 主机 。 为 了 把 配置 文件 包 
含 到 主 文件 中 ， 要 在 主 配 置 文件 中 添加 一 句 mclude 语句 : 


# cd /etc/httpd/ 

# mkdir vhost-conf.d 

# echo "Include vhost-conf.d/*.conf">> conf/httpd.conf 

# vi vhost-conf.d/testl.conf 

这 样 ， 在 vhost-conf.d 目录 下 创建 的 后 级 名 为 “.conf” 的 文件 内 容 将 自动 包含 到 主 配 
置 文件 http.conf 里 面 。 

注意 ， 添 加 Include 语句 使 用 的 是 两 个 “>” 号 ， 表 示 附 加 ， 文 件 本 身 内 容 不 改变 ， 如 
果 写 成 一 个 “>” 号 ， 意 思 就 变 了 ， 表 示 把 目标 文件 清空 ， 然 后 写 入 内 容 。 

(3) 创建 模拟 测试 用 的 Web 站 点 。 

创建 三 个 网 站 的 目录 结构 及 测试 用 页 面 文件 : 

# cd /var/www/html 
# mkdir main 
# echo "sitel-main site">main/ index.html 
# mkdir hr 
# echo "site2-human resource dep"> hr/index.html 
# mkdir mk 

# echo "site3-market dep">mk/index.html 

在 主 目录 下 创建 公司 网 站 的 模拟 测试 网 页 ， 在 hr 目录 下 创建 人 事 部 网 站 的 模拟 测试 网 
页 ， 在 mk 目录 下 创建 市 场 部 网 站 的 模拟 测试 网 页 ， 文 件 名 都 叫 index.html， 是 每 个 站 点 的 
默认 首页 。 

接 下 来 ， 使 用 三 种 不 同 的 方法 来 配置 人 事 部 和 市 场 部 的 虚拟 主机 。 

3. 使 用 不 同 的 域名 来 配置 虚拟 主机 

配置 基于 域名 的 虚拟 主机 ， 需 要 域名 服务 器 来 负责 解析 域名 ， 服 务 器 端 和 客户 端的 具 
体 配置 可 以 参考 DNS 服务 器 配置 。 本 例 中 采用 适用 于 少量 名 称 解析 的 hosts 文件 来 进行 简 
单 的 解析 ， 需 要 修改 客户 端的 hosts 文件 设置 。 

使 用 vi 编辑 虚拟 机 配置 文件 testl.conf， 创 建 基于 域名 的 虚拟 主机 。 假 设 公 司 网 站 域 
名 为 www.testl.com; 人 事 部 网 站 的 域名 为 hr.testl.com; 市 场 部 的 域名 为 mktestl.com。 


#vi /etc/httpd/vhost-conf.d/testl1.conf 
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(1) 配置 人 事 部 网 站 的 虚拟 主机 : 


<VirtualHost *:80> 
DocumentRoot /var/www/html/hr 
ServerName hr.testl.com 
<Directory /var/www/html/hr> 
Require ip 192.168.125.0/24 
</Directory> 
</VirtualHost> 
使 用 DocumentRoot 设置 人 事 部 网 站 的 主 目录 是 /var/www/html/hr; ServerName 设置 网 
站 的 域名 为 hr.testl.com; 在 Directory 目录 访问 设置 中 ，Require 语句 设置 本 网 站 只 允许 来 
自 于 192.168.125.0/24 网 段 的 主机 才 可 以 访问 ， 这 是 公司 内 部 网 所 使 用 的 网 段 ， 即 设置 只 
允许 企业 内 部 访问 。 
(2) 配置 市 场 部 网 站 的 虚拟 主机 : 
<VirtualHost *:80> 
DocumentRoot /var/www/html/mk 
ServerName mk.testl.com 
<Directory /var/www/html/mk> 
Require ip 192.168.125.0/24 
</Directory> 
</VirtualHost> 


市 场 部 的 设置 类 似 于 人 事 部 ， 只 是 主 目录 和 域名 略 有 差异 。 

(3) 配置 公司 网 站 的 虚拟 主机 : 

<VirtualHost *:80> 

DocumentRoot /var/www/html/main 

ServerName Www.testl.com 

<Directory /var/www/html/main> 

Require all granted 

</Directory> 

</VirtualHost> 

公司 网 站 的 设置 也 很 相似 ， 除 了 主 目录 和 域名 略 有 差别 外 ， 向 所 有 访问 者 开放 授权 ， 
而 不 是 只 允许 公司 的 用 户 访问 。 

(4) 重启 Apache， 如 果 出 错 ， 可 以 查看 错误 信息 进行 排 错 : 

#systemctl1 restart httpd 

#systemctl1 status httpd 

(5) 设置 客户 端 域名 解析 。 

如 果 域 名 服务 器 配置 好 了 ， 可 以 在 testl.com 域 中 添加 www、hr、mk 三 条 记录 ， 指 向 
主机 192.168.125.1， 并 设置 客户 端 网 络 设置 中 的 DNS 服务 器 设置 指向 配 好 的 DNS 服务 
器 。 具 体 方法 参考 DNS 服务 器 配置 步骤 。 

也 可 以 使 用 简单 一 些 的 方法 ， 在 客户 机 的 hosts 文件 中 设置 解析 记录 ， 在 Linux 环境 
下 ， 是 /etc/hosts 文件 ， 在 Windows 客户 机 上 ， 是 C:\Windows\system32\drivers\etc\hosts 文 
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件 ， 在 文件 中 添加 下 与 域名 的 对 应 记录 。 
#vi /etc/hosts 
192.168.125.1 www.testl.com 
192.168.125,.1 hr.testl.com 
192.168-.125,.1 mk.testl,com 
(6) 测试 虚拟 主机 。 
记录 添加 完成 后 ， 执 行 ping 命令 测试 名 称 解 析 和 网 络 连通 性 : 
#ping www.testl.com -c2 
#ping hr.testl.com -c2 
#ping mk.test1.com -c2 
如 果 能 正常 解析 连通 ， 接 下 来 使 用 lynx 来 访问 测试 三 个 网 站 : 
#1lynx www.testl.com 


#1lynx hr.testl.com 
#1lynx mk.testl.com 


4. 使 用 不 同 的 端口 地 址 来 配置 虚拟 主机 


在 同一 台 服 务 器 上 配置 多 个 虚拟 主机 ， 最 简单 的 方法 就 是 使 用 不 同 的 端口 地 址 来 建立 
基于 端口 的 虚拟 主机 。 

使 用 基于 端口 的 虚拟 主机 的 浆 端 ， 主 要 就 是 当 用 户 访 问 的 时 候 必须 输入 端口 地 址 ， 但 
是 服务 器 又 缺乏 方法 可 以 通知 用 户 站 点 所 使 用 的 端口 ， 结 果 就 使 外 界 用 户 难 以 访问 。 

需要 向 外 界 提 供 访问 的 公司 站 点 ， 分 配 的 端口 是 Web 服务 的 默认 端口 8082， 也 可 以 
仍然 使 用 80， 对 外 界 用 户 来 说 不 存在 访问 障碍 ; 人 事 部 站 点 和 市 场 部 站 点 由 企业 内 部 人 员 
访问 ， 可 以 使 用 1024 之 后 的 端口 (1024 之 前 的 端口 保留 给 系统 使 用 )， 本 例 中 可 以 任 选 两 个 
端口 作为 各 自 站 点 的 端口 ，8080 端口 作为 人 事 部 站 点 使 用 ，8081 端口 作为 市 场 部 站 点 使 
用 。 内 部 员工 也 不 存在 通知 上 的 困难 ， 而 且 一 定 程度 上 ， 也 有 防止 非法 用 户 访问 的 作用 。 
因此 ， 针 对 此 配置 任务 ， 使 用 基于 端口 的 虚拟 主机 方案 也 可 以 较 好 地 解决 。 
(1) 配置 http.conf， 增 加 8080、8081、8082 端口 的 监听 : 


#vi /etc/httpd/conf/httpd.conf 

















Listen 192.168.125.1:8080 
Listen 192.168.125.1:8081 
Listen 192.168.125.1:8082 


也 可 以 不 添加 了 P 地 址 限制 ， 直 接 Listen 端口 号 ， 访 问 测试 时 效果 会 略 有 差异 。 
(2) 编辑 虚拟 机 配置 文件 test2.conf: 

# vi /etc/httpd/vhost-conf.d/test2.conf 

在 虚拟 主机 配置 文件 中 添加 内 容 。 

添加 人 事 部 虚拟 主机 配置 : 


<VirtualHost 192.168.125.1:8080> 
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ServerName hr.testl.com 
DocumentRoot /var/www/html/hr 
<Directory /var/www/html/hr> 
Require ip 192.168.125.0/24 
</Directory> 
</VirtualHost> 


添加 市 场 部 虚拟 主机 配置 : 


<VirtualHost 192.168.125.1:8081> 
ServerName mk.testl .com 
DocumentRoot /var/www/html /mk 

<Directory /var/www/html/mk> 
Require ip 192.168.125.0/24 

</Directory> 

</VirtualHost> 


添加 企业 网 站 虚拟 主机 配置 : 


<VirtualHost 192.168.125.1:8082> 
ServerName www.testl.com 
DocumentRoot /var/www/html/main 
<Directory /var/www/html/main> 
Require all granted 
</Directory> 
</VirtualHost> 


(3) 重启 Apache， 如 果 出 错 ， 可 以 查看 错误 信息 进行 排 错 : 


#systemctl restart httpd 
#systemctl status httpd 
#journalctl -xe 


如 果 之 前 SELinux 没有 关闭 ， 此 时 httpd 服务 会 无 法 启动 。 执 行 以 下 命令 ， 暂 时 关闭 
SELinux 后 再 重新 启动 Apache 服务 器 。 


#setenforce 0 
#systemctl restart httpd 


(4) 测试 虚拟 主机 。 

记录 添加 完成 后 ， 执 行 ping 命令 测试 名 称 解析 和 网 络 连通 性 : 
#ping 192.168.125.1 -c 2 

如 果 能 正常 解析 连通 ， 接 下 来 使 用 lynx 来 访问 测试 三 个 网 站 : 


#lynx 192.168.125.1:8080 
#lynx 192.168.125.1:8081 
#1lynx 192.168.125.1:8081 


5. 使 用 不 同 的 IP 地 址 来 配置 虚拟 主机 
任务 需要 部 署 三 个 Web 网 站 在 同一 台 服 务 器 上 ， 需 要 配置 虚拟 主机 。 


项 目 二 


网 络 规划 中 ， 为 服务 器 保留 的 地 址 是 1~9 共 9 个 PP 地址 ， 
配 一 个 独立 的 他 地址 ， 分 别 为 192.168.125.2、192.168.125.3、192.168.125.4。 


未 注 
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因此 ， 可 以 为 每 个 网 站 分 














本 范例 主机 的 网 卡 设备 名 称 是 ens33， 如 果 你 的 虚拟 机 网 卡 设备 名 称 不 同 的 


话 ， 要 把 ens33 替换 成 你 自己 的 设备 名 称 。 
(1) 为 虚拟 机 添加 多 个 卫 地 址 ， 如 图 2-29 所 示 。 


#ifconfig ens33:1 192.168.125.2 
#ifconfig ens33:2 192.168.125.3 





5.255.0 
n 1888 


txqueuelen 1888 


#ifconfig ens33:3 192.168.125.4 up 
#ifconfig 
sns33:1: flags=4163 
inet 192.16! 
ether 88:8 
flags=4163 BROADCAST, RUNN ING , 
inet 192.16! 5.3 netmsk 25 
ether 88:8 f9:35:e1 txqueue 
flags=41 BROADCAST, RUNN ING , 
inet 192.168.125.4 netmsk 255 .2 
ether 989:Bc:29:f9:35:e1 
图 2-29 为 虚拟 机 设置 多 个 IP 地 址 
因为 此 虚拟 术 


多 个 IP 地 址 。 有 了 多 个 卫 地 址 后 ， 


只 有 一 块 网 卡 ， 命 令 中 的 ens33:1 是 为 ens33 设备 添加 的 虚拟 网 卡 ， 从 


接 下 来 就 可 以 把 多 个 网 站 绑 定 到 不 


而 给 服务 器 绑 定 了 
同 的 了 上， 实现 基于 IP 地 址 的 虚拟 主机 设置 。 
块 网 卡 设置 不 同 芯 


IP 地 址 ， 效 果 类 似 。 


如 果 为 虚拟 机 添加 多 块 网 卡 ， 就 可 以 为 每 


(2) 编辑 虚拟 机 配置 文件 test3.conf: 


# vi /etc/httpd/vhost-conf.d/test3.conf 


添加 人 事 部 的 虚拟 主机 配置 IP-192.168.125.2): 


<VirtualHost 192.168.125.2:80> 

DocumentRoot /var/www/html/hr 

<Directory /var/www/html/hr> 
Require ip 192.168.125.0/24 

</Directory> 

</VirtualHost> 


添加 市 场 部 的 虚拟 主机 配置 IP-192.168.125.3): 


<VirtualHost 192.168.125.3:80> 

DocumentRoot /var/www/html/mk 

<Directory /var/www/html/mk> 
Require ip 192.168.125.0/24 

</Directory> 

</VirtualHost> 
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添加 企业 网 站 的 虚拟 主机 配置 (IP-192.168.125.4): 


<VirtualHost 192.168.125.4:80> 

DocumentRoot /var/www/html/main 

<Directory /var/www/html/main> 
Require all granted 

</Directory> 

</VirtualHost> 


(3) 重启 Apache， 如 果 出 错 ， 可 以 查看 错误 信息 进行 排 错 : 


#systemctl restart httpd 
#systemctl1 status httpd 
#journalctl -xe 


(4) 测试 虚拟 主机 。 
记录 添加 完成 后 ， 在 客户 端 执 行 ping 命令 ， 测 试 名 称 解析 和 网 络 连 通 性 : 


#ping 192.168.125.2 -c2 
#ping 192.168.125.3 -c2 
#ping 192.168.125.4 -c2 


如 果 能 正常 解析 连通 ， 接 下 来 使 用 lynx 来 访问 测试 三 个 网 站 : 
#1ynx 192.168.125.2 


#1ynx 192.168=125:3 
#lynx 192.168.125.4 





任务 四 : 搭建 LAMP 应 用 环境 


在 这 一 部 分 ， 我 们 要 关注 三 个 问题 : LAMP 是 什么 ? 为 什么 要 使 用 LAMP? 怎样 配置 
LAMP? 


知识 储备 
2.11 网 站 技术 与 平台 搭建 
2.11.1 网络 应 用 程序 如 何 工作 





网 络 应 用 程序 有 两 种 工作 模式 : C/S 模式 (Client/Server) 和 B/S(Browser/Server) 模 式 。 

C/S 模式 是 客户 端 /服务 器 模式 ， 例 如 手机 淘宝 、 滴 滴 打 车 等 应 用 ， 这 类 应 用 程序 一 般 
是 专门 设计 的 应 用 程序 ， 独 立 运行 。 

Client/Server 工作 模式 如 图 2-30 所 示 。 





(3. 


项 目 二 常用 服务 的 配置 和 使 用 倒 天 


Client 





2-30 ”Client/Server 工作 模式 


B/S 模式 是 浏览 器 /服务 器 模式 ， 是 C/S 模式 的 特例 。 区 别 在 于 ，C/S 模式 下 ， 客 户 端 
和 服务 器 端 都 要 开发 专门 的 程序 ， 通 过 网 络 通信 协同 工作 ; 而 B/S 模式 下 ， 客 户 端 不 需要 
开发 应 用 ， 所 有 的 功能 都 在 服务 器 开发 ， 部 署 在 Web 网 站 上 面 ， 在 客户 端 使 用 浏览 器 来 运 
行 访问 。Browser/Server 工作 模式 如 图 2-31 所 示 。 








2-31 ”Browser/Server 工作 模式 


对 比 两 种 技术 ，B/S 架构 具备 较 多 的 优点 : 开发 成 本 低 ， 管理 和 维护 相对 简单 ， 产 品 
升级 便利 ， 不 需要 升级 客户 端 ， 用 户 使 用 方便 ， 容 易 上 手 ; 出 现 故障 的 概率 较 小 等 。 

当然 ，B/S 架构 也 存在 不 少 问 题 ， 例 如 使 用 开放 标准 ， 通 过 Web 进行 访问 安全 性 不 
足 ; 浏览 器 无 法 按 意 愿 进 行 调整 修改 ;浏览 器 产品 种 类 过 多 ， 在 应 用 开发 时 兼容 性 问题 较 
为 突出 。 

应 用 开发 Web 化 是 大 趋势 ， 所 以 C/S 架构 应 用 的 开发 ， 服 务 端 也 会 尽量 基于 Web 网 
站 ， 工 作 模 式 与 B/S 架构 通常 也 非常 相似 。 


2.11.2 ”动态 网 页 技术 


B/S 模式 下 ， 当 访问 服务 器 上 的 Web 应 用 工作 时 ， 会 通过 HTTP 协议 向 某 一 个 在 服务 
端 存在 的 文件 发 送 请 求 ，Web 服务 器 会 找到 被 请 求 的 文件 ， 并 将 其 送 回 给 客户 端 浏 览 
此 时 ， 回 送 的 网 页 内 容 是 固定 的 ， 如 果 要 改变 提供 的 信息 ， 就 需要 重新 设计 页 面 。 这 些 内 
容 固定 的 网 页 ， 通 常 称 为 静态 网 页 。 静 态 网 页 的 工作 模式 如 图 2-32 所 示 。 
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图 2-32 静态 网 页 的 工作 模式 


想象 一 下 ， 在 新 闻 类 站 点 ， 那 些 海量 的 随时 更 新 的 新 闻 ; 想象 一 下 ， 淘 宝 网 上 ， 那 无 
限 变动 的 商品 ， 想 象 一 下 ， 无 数 人 随时 交流 的 信息 。 

难道 需要 为 每 一 个 信息 都 设计 一 个 网 页 吗 ? 信息 的 产生 如 此 之 快 ， 数 量 又 如 此 之 大 ， 
根本 来 不 及 完成 相应 网 页 设计 。 

为 了 解决 这 个 问题 ， 动 态 网 页 技术 也 就 诞生 了 。 

互联 网 上 的 信息 ， 几 乎 都 存放 在 数据 库 中 。 动 态 网 页 技术 的 思路 ， 简 单 说 ， 就 是 搭 好 
框架 ， 当 用 户 访问 时 ， 根 据 请 求 的 目标 到 数据 库 去 提取 相应 的 信息 ， 填 充 到 空 的 框架 中 ， 
形成 动态 网 页 ， 然 后 回 送 给 客户 端 浏览 器 显示 。 

在 现实 生活 中 ， 如 果 去 超市 买 十 斤 苹果 ， 假 如 超市 只 有 空空 的 柜台 ， 临 时 去 进货 十 斤 
苹果 ， 然 后 摆 出 来 卖 给 顾客 ， 是 不 可 行 的， 因为 时 间 拖 得 太 长 ， 顾 客 是 等 不 了 这 么 久 的 
但 在 网 络 环境 下 ， 这 种 模式 可 以 工作 得 很 好 。 因 为 网 络 和 计算 机 的 执行 速度 很 快 ， 快 到 我 
们 刚刚 提出 请 求 ， 填 充 好 信息 的 网 页 瞬间 就 生成 了 。 

动态 网 页 的 工作 模式 如 图 2-33 所 示 。 











提出 请 求 Web 服 务 器 
数据 库 服 务 器 
客户 端 
(作品 “0 
数据 库 








图 2-33 ”动态 网 页 的 工作 模式 


动态 网 页 一 般 是 以 asp、jsp、php、aspx 等 作为 后 级 名 ， 而 静态 网 页 一 般 是 html、htm 
等 结尾 。 

动态 网 站 可 以 实现 交互 功能 ， 如 用 户 注册 、 信 息 发 布 、 产 品 展示 、 订 单 管理 等 。 

当 客 户 端 提交 请 求 时 ， 动 态 网 页 会 开始 执行 ， 访 问 数据 库 ， 提 取 数 据 ， 生 成 网 页 ， 然 
后 把 生成 的 填充 了 最 新 数据 的 网 页 回 送 给 客户 端 。 

动态 网 页 中 包含 有 服务 器 端 脚本 ， 所 以 页 面 文件 名 常常 会 依据 所 使 用 的 技术 定 后 组 ， 
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如 aspx、jsp、php 等 。 通 过 所 使 用 的 后 级 名 ， 可 以 大 致 了 解 服务 器 使 用 的 技术 ， 但 不 能 以 
页 面 文件 的 后 级 作为 判断 网 站 的 动态 和 静态 的 唯一 标准 。 

有 些 网 站 使 用 URL 静态 化 技术 ， 把 动态 网 页 填充 好 数据 ， 生 成 静态 页 面 存放 好 ， 供 
用 户 访问 。 使 用 这 种 技术 ， 在 访问 时 因为 不 需要 访问 数据 库 ， 所 以 与 静态 网 页 一 样 快 ， 同 
时 ， 又 能 够 根据 不 断 变化 的 数据 库 的 信息 快速 生成 和 更 新 。 

还 有 些 网 站 使 用 了 映射 (Mapping) 技 术 ， 不 管 网 站 本 身 使 用 哪 种 技术 建设 ， 都 可 以 对 名 
称 进 行 映射 ， 此 时 ， 后 缀 名 称 可 以 随意 定义 ， 指 向 任何 目标 ， 此 时 ， 后 组 也 就 不 具备 标识 
的 意义 了 。 

由 于 需要 访问 数据 库 提取 数据 ， 因 此 ， 动 态 网 站 的 访问 速度 会 大 大 减 慢 ， 幸 好 ， 由 于 
网 络 和 服务 器 性 能 的 极 大 提升 ， 速 度 总 地 来 说 ， 还 是 可 以 接受 的 。 
































2.11.3 LAMP 简介 


PHP 与 MySQL 数据 库 是 绝 佳 的 组 合 ， 而 Apache 服务 器 内 置 支持 PHP， 所 以 在 Linux 
台 下 ， 最 流行 的 建立 动态 网 站 的 平台 就 是 LAMP， 即 Linux+Apache+MySQL+PHP， 
Linux 作为 系统 平台 ，Apache Web Server 作为 Web 应 用 平台 ，MySQL 作为 数据 库 支 撑 ， 
PHP 作为 编程 环境 的 一 体 化 应 用 平台 。LAMP 的 组 成 如 图 2-34 所 示 。 


fo :DD 


Linux Apache MySQL Php 
图 2-34 LAMP 的 组 成 


PHP(Personal Home Page) 是 Linux 平台 下 最 流行 的 动态 网 页 技术 ， 现 在 已 经 正式 更 名 
为 “PHP: Hypertext Preprocessor”。PHP 于 1994 年 由 Rasmus Lerdorf 创建 ， 最 开始 是 作者 
为 了 维护 个 人 网 页 而 制作 的 一 个 简单 的 用 Perl 语言 编写 的 程序 。 后 来 又 用 C 语言 重新 编 
写 ， 包 括 数据 库 访 问 功能 。 

MySQL 是 最 流行 的 关系 型 数据 库 管理 系统 之 一 ， 在 Web 应 用 方面 ，MySQL 是 最 好 
的 关系 数据 库 管 理 系统 (Relational Database Management System，RDBMS) 应 用 软件 。 

如 图 2-35 所 示 ，MySQL 在 DB-engines 2017 年 3 月 发 布 的 数据 库 排 名 中 位 列 第 二 。 





DBMS 
2017 2017 2016 
& 1. 1. Oracle 
2. MySQL 
3. 3. 3. Microsoft SQL Server 


图 2-35 DB-engines 2017 年 3 月 发 布 的 数据 库 排名 
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在 甲骨 文公 司 (Oracle) 收 购 了 MySQL 后 ， 有 认为 MySQL 有 闭 源 的 潜在 风险 ， 因 此 开 
源 社区 采用 分 支 的 方式 开发 了 MariaDB。MariaDB 是 目前 最 受 关 注 的 MySQL 数据 库 衍 生 

MariaDB 和 MySQL 的 Logo 如 图 2-36 所 示 。 

2-36 MariaDB 和 MySQL 的 Logo 

MariaDB 的 目的 是 完全 兼容 MySQL， 包 括 API 和 命令 行 ， 使 之 能 轻松 成 为 MySQL 
儿 Maria 的 名 字 。 

LAMP 是 企业 中 最 常用 的 服务 ， 是 非常 稳定 的 网 站 架构 平台 。 有 时 候 ， 企 业 会 使 用 
库 支撑 ， 它 和 MySQL 一 脉 相 承 ， 配 置 基 本 一 样 。 对 P 的 解读 ， 有 时 候 不 仅 指 PHP， 还 包 
括 脚本 语言 Perl 和 Python 。 


版 ， 也 被 视 为 开源 数据 库 MySQL 的 替代 品 。 

MariaDB MySQL. 
的 代替 品 。MariaDB 由 MySQL 的 创始 人 Michael Widenius 主导 开发 ， 其 命名 来 自 他 的 女 
Nginx Web Server 代替 Apache， 简 称 LNMP; 现在 企业 会 更 多 地 使 用 MariaDB 来 作为 数据 
任务 实践 


2.12 ”搭建 简易 LAMP 环境 


安装 前 ， 为 了 防止 防火 墙 和 其 他 安全 设置 影响 实验 ， 执 行 以 下 命令 。 
(1) 如 果 开 启 了 iptables 防火 墙 ， 可 以 用 systemctl stop iptables 关闭 。 
(2) 如 果 开启 了 firewalld 防火 墙 ， 可 以 用 systemectl stop firewalld 关闭 。 
(3) 如 果 开 启 了 SELinux 功能 ， 可 以 用 setenforce 0 临时 关闭 SELinux。 
(4) 如 果 不 确定 是 否 开启 ， 就 把 三 条 命令 都 执行 一 遍 。 

#systemctl1 stop iptables 


#systemctl stop firewalld 
#setenforce 0 





2.12.1 安装 Apache 


Apache 是 世界 排名 第 一 的 Web 服务 器 软件 。 它 可 以 运行 在 几乎 所 有 广泛 使 用 的 计算 
机 平台 上 ， 由 于 其 跨 平 台 和 安全 性 被 广泛 使 用 ， 是 最 流行 的 Web 服务 器 端 软件 之 一 。 
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Apache 服务 器 安装 后 ， 基 本 上 不 加 设置 就 可 以 正常 运行 。 
(1) 安装 Apache 服务 : 

#yum -Y install httpd 

(2) 开启 Apache 服务 : 


#systemctl1 start httpd.service 
(3) 设置 Apache 服务 开机 启动 : 
#systemctl enable httpd.service 
(4) 验证 Apache 服务 是 否 安装 成 功 : 


#echo "Testsite">/var/www/html/index.html 
#1ynx lol 0a 


2.12.2 安装 PHP 


1. PHP 简介 


PHP 是 Linux 平台 下 最 流行 的 动态 网 页 技术 ， 拥 有 广泛 的 用 户 基础 ， 是 现在 主流 的 建 
站 选择 。 选 择 PHP 的 原因 很 多 ， 以 下 是 其 中 的 一 些 理由 。 

(1) 良好 的 安全 性 。 

PHP 是 开源 软件 ， 所 有 PHP 的 源 代码 每 个 人 都 可 以 看 得 到 ， 代 码 在 许多 工程 师 手 中 进 
行 了 检测 ， 同 时 它 与 Apache 编译 在 一 起 的 方式 也 可 以 让 它 具 有 灵活 的 安全 设 定 ，PHP 具 
有 公认 的 安全 性 能 。 开 源 造就 了 强大 、 稳 定 、 成 熟 的 系统 。 

(2) 执行 速度 快 、 效 率 高 。 

PHP 是 一 种 强大 的 CGI 脚本 语言 ， 性 能 稳定 快速 ， 占 用 系统 资源 少 ， 代 码 执行 速度 
快 。PHP 消耗 相当 少 的 系统 资源 。 

(3) 降低 网 站 开发 成 本 。 

PHP 不 受 平台 束缚 ， 可 以 在 Unix、Linux 等 众多 不 同 的 操作 系统 中 架设 基于 PHP 的 
Web 服务 器 。 采 用 Linux+Apache+PHP+MySQL 这 种 开源 免费 的 框架 结构 ， 可 以 为 网 站 经 
营 者 节省 很 大 一 笔 开 支 。 

(4) 版 本 更 新 速度 快 。 

与 数 年 才 更 新 一 次 的 ASP 相 比 ，PHP 的 更 新 速度 要 快 得 多 ， 几 乎 每 年 更 新 一 次 。 


(5) 应 用 范围 











广 。 


目前 在 互联 网 有 很 多 网 站 的 开发 都 是 通过 PHP 语言 来 完成 的 ， 例 如 搜狐 、 网 易 和 百度 


泪 


在 这 些 知名 网 站 的 创作 开发 中 ， 都 应 用 到 了 PHP 语言 。 


2. 部 署 和 测试 PHP 环境 
作为 LAMP 架构 的 组 成 部 分 ，PHP 负责 提供 网 站 的 服务 器 端 应 用 环境 。 
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(1) 安装 PHP 和 相关 辅助 包 ， 如 图 2-37 所 示 。 
#yum -Y install php 





php-common 


2-37 安装 PHP 


(2) 重启 Apache 服务 ， 让 PHP 生效 : 

#sYstemct1 restart httpd.service 

Apache 服务 默认 支持 PHP， 可 以 不 做 任何 配置 ， 就 直接 运行 PHP 程序 。 
G) 写 一 个 PHP 测试 文件 : 

#vi /var/www/html/info.php 

内 容 是 ， 

<?php phpinfo(); ?> 

(4) 测试 PHP 功能 ， 如 图 2-38 所 示 。 


#1lynx 127.0.0.1/info.php 


IPHP Version 5.4.16 


System Linux liuxuegong 3.18.8-514.el 
Build Date Nov 6 2816 89:38:85 

Server API fpache 2.8 Handler 

Virtual Directory Support disabled 
Conf iguration File (php.ini) Path /etd 


Loaded Conf iguration File /etc/php.in 
Scan this or additional .ini fild 
hdditional files parsed /etc/php 





2-38 测试 PHP 功能 


phpinfo0 会 输出 PHP 的 一 些 信息 ， 只 要 看 到 这 些 信息 ， 就 意味 着 PHP 正常 工作 了 。 
如 果 修 改 httpd.conf 中 默认 文档 的 设置 ， 把 info.php 加 入 并 放 在 排列 顺序 的 最 前 面 的 
话 ， 在 网 址 URL 中 就 可 以 不 用 输入 文件 名 了 。 


2.12.3 安装 MariaDB 数据 库 服 务 器 


(1) 安装 MariaDB: 


#yum -Y install mariadb-server mariadb 


项 目 二 “常用 服务 的 配置 和 使 用 倒 国 


(2) 开启 MySQL/MariaDB 服务 : 


#systemctl1 start mariadb.service 


(3) 设置 开机 启动 MySQL/MariaDB 服务 : 


#systemctl enable 


mariadb.service 


(4) 设置 数据 库 的 安全 设 定 项 : 


#mysql secure installation 


然后 会 出 现 一 些 信息 





空 ， 所 以 直接 回 车 就 好 。 
提示 输入 项 二 : 是 否 
接 下 来 输入 两 次 你 设 
提示 输入 项 三 : 删除 
提示 输入 项 四 : 一 般 


络 远程 登录 ， 建 议 选择 y。 


提示 输入 项 五 : 是 否 
提示 输入 项 六 : 完成 





bE 


以 下 是 几 个 交互 项 的 提示 。 


是 示 输 入 项 一 : 输入 MariaDB 数据 库 的 root 管理 员 密 码 ， 安 装 后 root 密码 初始 为 


设置 root 的 密码 ， 通 常 都 会 设置 ， 建 议 选择 y。 

置 的 root 密码， 完成 密码 设置 。 

匿名 用 户 ， 建 议 选择 y。 

root 用 户 应 该 只 允许 本 地 登录 管理 ， 问 是 否 禁止 root 用 户 通过 网 


删除 测试 数据 库 test 和 相应 的 权限 设 定 ， 建 议 选择 y。 
出 除 后 ， 是 否 更 新 数据 库 权 限 信息 。 选 择 y。 


如 果 你 有 “英语 恐惧 症 ”， 可 以 在 提示 出 来 的 时 候 ， 一 直 按 Enter 选择 默认 就 好 了 ， 
让 你 设置 密码 的 时 候 ， 就 输入 想 要 的 密码 。 当 配置 结束 的 时 候 ， 可 以 通过 输入 “mysql -u 


root -p” 的 方式 ， 验 证 一 


#mysql -u root -p 





设置 的 root 密码 是 否 有 效 ， 如 图 2-39 所 示 。 


I mysql -u t-p 
elcome to the MariaDB monitor. Commands end wit) 
bur MariaDB connection id is 14 
erver version: 5.5.52-MariaDB MariaDB Server 


opuright (c) 2888，2816，0racle，MariaDB Corpora 


Upe “help;”or ’\h’ for help. Tupe ’\c’ to clear 


ariaDB [(none)] 





2-39 ”使 用 root 用 户 连 接 数据 库 


输入 刚才 设置 的 密码 ， 就 可 以 看 到 数据 库 操作 交互 界面 了 。 在 此 界面 下 ， 可 以 对 
MariaDB 数据 库 进 行 各 种 操作 。 


2.12.4 ”安装 LAMP 环境 的 其 他 操作 


(1) 将 PHP 和 MySQL 关联 起 来 : 


#yum info php-mysql 
#yum -Y install php-mysql 


.14aN. 
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想 要 让 PHP 应 用 访问 MySQL 数据 库 或 MariaDB 数据 库 ， 须 安装 php-mysql 软件 包 。 
(2) 安装 常用 的 PHP 模块 。 
中 安装 : 


#yum -Y install php-gd php-ldap php-odbc php-pear php-xml php-xmlrpc 
Php-mbstring php-snmp php-soap curl curl-devel 


为 了 扩展 和 增强 PHP 的 功能 ， 需 要 安装 常见 的 PHP 功能 插件 。 
@@ ”重启 Apache 服务 : 

#sYstemct1 restart httpd.service 

@ 再 次 在 浏览 器 中 运行 info.php， 你 会 看 到 安装 的 模块 的 信息 : 


#lynx 127.0.0.1/info.php 





2.13 ”MariaDB 数据 库 的 配置 和 使 用 


如 果 数 据 库 尚未 安装 ， 使 用 yum 进行 安装 : 

#yum info mariadb 

#yum install mariadb mariadb-server 

#systemctl1 start mariadb 

#systemctl enable mariadb 

#mysql secure installation 

#mysql -u root -p 

yum info 查看 软件 包 信息 ， 如 果 没 安装 ， 使 用 yum install 命令 安装 MariaDB 数据 库 软 
件 ， 之 后 systemctl start 启动 mariadb，systemctl enable 设 为 开机 自 启动 ，mysql_secure_ 
installation 设置 root 密码 ， 然 后 使 用 mysql 客户 端 程序 测试 登录 服务 器 ，mysql 执行 时 要 
输入 的 密码 就 是 mysql_secure_installation 刚刚 设置 的 。 


2.13.1 数据 库 操作 简介 


1. 登录 数据 库 

MariaDB 数据 库 服 务 的 服务 名 就 是 mariadb，MySQL 数据 库 服务 名 是 mysqld。 检 查 服 
务 是 否 正常 运行 ， 如 图 2-40 所 示 。 

#yum info mariadb 


#SYstemct1 start mariadb 
#SsyYstemct1 status mariadb 


me (running) 
ExecStartPost 





2-40 查看 MariaDB 的 服务 状态 


.AAA 


项 目 二 “常用 服务 的 配置 和 使 用 属 











如 果 数 据 库 服务 正常 运行 ， 要 访问 管理 服务 器 ， 需 要 先进 行 登录 ， 验 证 用 户 身份 。 
一 个 Web 网 站 可 以 建立 很 多 虚拟 主机 ， 一 个 数据 库 服务 器 也 可 以 建立 很 多 数据 库 。 这 














些 数 据 库 可 能 属于 不 同 的 用 户 ， 为 了 安全 起 见 ， 需 要 验证 用 户 身份 ， 并 对 数据 库 进 行 合理 


授权 。 


登录 数据 库 服务 的 客户 端 程序 是 mysql， 命 令 语法 如 下 : 

#mysql -h 主机 地 址 -u 用 户 名 -p 用 户 密码 -P 端口 -D 数据 库 -e "SQL 内 容 " 

-h: 主机 地 址 ， 指 定 要 访问 的 数据 库 服 务 器 的 域名 或 者 人 P 地 址 。 

-u: 用 户 名 ， 指 定 使 用 什么 用 户 进行 登录 。 

-p: 用 户 密 码 ， 指 定 用 户 的 登录 密码 ， 通 常 留 空 不 写 ， 执 行 时 再 手动 输入 ， 这 样 就 更 








加 安全 一 点 。 


-P: 端口 ， 指 定 要 访问 的 数据 库 服务 的 端口 号 ， 默认 是 3306 号 端口 。 
-D: 数据 库 ， 指 定 目 标 数 据 库 。 

-e: SQL 语句 ， 指 定 要 执行 的 SQL 命令 。 

例如 ， 使 用 root 用 户 访问 MariaDB 数据 库 ， 如 图 2-41 所 示 。 


#mysql -u root -p 


[root@liwaegong ~]# mysql -u root -p 
1 


Ente a d 
Welcome to the MariaDB monitor. Commands end with ; or \g. 
Your MariaDB connection id is 4 

Server versio riaDB MariaDB Server 


Copyright (c) 2888，2816，0racle，MariaDB Corporation hb and 
Tupe “help;’ “Ah for help. Type ’\c’ to clear the currem 


MariaDB [(none)] 





图 2-41 登录 MariaDB 数据 库 服 务 器 进行 管理 操作 


刚 安装 时 没有 设置 root 密码 的 话 ， 直 接 按 Enter 键 即 可 。 
此 步骤 后 面 的 数据 库 操 作 都 要 提前 执行 ， 不 再 重复 ， 在 需要 的 地 方 自动 添加 。 


结 注意 : ”@ 执行 数据 库 操作 命令 时 ， 需 要 首先 登录 数据 库 服务 器 。 


@ 数据 库 交互 模式 下 ， 每 条 语句 结尾 加 “:” 号 。 


#mysqladmin -u 用 户 名 -p 旧 密 码 password 新 密码 


mysqladmin 是 管理 MySQL 的 工具 ，-u 指定 用 户 名 称 ，-p 指定 用 户 密码 ，password 后 


跟 新 密码 。 


例如 ， 设 置 初始 密码 : 


#mysqladmin -u root password lxgl23456 
#mysql -u root -plxgl23456 
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使 用 mysqladmin 设置 密码 时 ， 因 为 开始 时 root 没有 密码 ， 所 以 -p 旧 密 码 一 项 就 可 以 


省 略 了 。 


设置 好 密码 ， 使 用 MySQL 登录 服务 器 。 注 意 : -u 与 用 户 名 中 间 有 空格 ，-p 与 密码 间 


没有 空格 。 


例 1， 将 root 的 密码 改 为 Ixg654321: 


#mysqladmin -u root -plxg123456 password 1xg654321 
#mysql -u root -plxg654321 


例 2， 修 改 root 密码 为 Ixg123 的 另 一 种 方法 : 


#mysql -u root -p 

MariaDB>use mysql; 

MariaDB [mysql]>update user set password=password ("1xg123") where 
user="root"; 

MariaDB [mysql]>exit; 

#mysql -u root -p 


首先 输入 root 用 户 的 密码 进行 数据 库 服 务 器 登录 ， 登 录 成 功 后 ， 提 示 符 变 为 


MariaDB>， 开 始 进入 数据 库 交互 模式 。MariaDB 的 用 户 信息 存放 在 MySQL 数据 库 的 user 
表 里 面 ， 可 以 直接 操作 user 表 来 进行 用 户 管理 。update user 表示 更 新 用 户 信 息 (user) 表 ， 后 
面 表示 把 root 用 户 的 密码 改 为 kg123。 设 置 完成 后 ， 执 行 exit 命令 退出 交互 模式 ， 回 到 命 
令 行 界面 。 接 下 来 使 用 修改 后 的 密码 进行 数据 库 服 务 器 登录 。 


3. 添加 MySQL 用 户 


命令 格式 : 
grant select on 数据 库 .* to 用 户 名 8 登录 主机 identified by \" 密 码 \" 


例如 ， 增 加 一 个 用 户 us1， 密 码 为 kg123， 让 他 可 以 在 任何 主机 上 登录 ， 并 对 所 有 数 


据 库 有 查询 、 插 入 、 修 改 、 删 除 的 权限 。 


用 户 信息 存放 在 MySQL 数据 库 的 user 表 里 ， 键 入 命令 : 


MariaDB>use mysql; 

MariaDB [mysql]>insert into user(user,password) values ("usl", "lxg123"); 
MariaDB [mysql]>grant select, insert,update,delete on *.* to usl@'s®" 
identified by "testl"™; 

MariaDB [mysql]>show grants for usl; 


use mysql 打开 MySQL 数据 库 ， 可 以 对 数据 库 进行 操作 。 
Insert into user 表示 向 user 表 添 加 新 记录 ，user 字段 的 值 设 为 us1，password 字段 的 值 


设 为 Ixg123。 





大 数据 库 操作 包括 新 增 记录 insert、 删 除 记录 delete、 修 改 记录 update、 查 询 记录 











select。 要 对 服务 器 上 某 一 数据 库 进行 操作 ， 需 要 根据 用 户 身份 进行 对 应 权限 的 授权 。 


.( 146\. 


grant 是 授权 命令 。 
select,insert,update,delete on *.* 表 示 对 服务 器 上 的 任意 数据 库 要 授予 的 操作 权限 。 


项 目 二 常用 服务 的 配置 和 使 用 属 


to us1@“%’ 表 示 授 权 对 象 是 usl 用 户 在 任意 主机 上 的 登录 ，% 是 通配符 ， 代 表 任 意 字 
符 串 。 

identified by “test1”* 设 置 此 用 户 的 密码 是 testl 。 

如 果 想 为 usl 授予 dbl 数据 库 的 权限 ， 但 不 设置 密码 ， 命 令 如 下 : 


MariaDB [mysql]>grant select,insert,update,delete on dbl.* to 
usl@localhost identified by ""; 
MariaDB [mysql]>show grants for usl; 


如 果 db1 没 创建 的 话 ， 需 要 先 创建 dbl 数据 库 再 授权 。 

4. 创建 数据 库 

要 授予 数据 库 的 访问 权限 ， 需 要 先 创 建 数据 库 。 刚 才 要 授予 dbl 数据 库 的 权限 ,但 是 
数据 库 dbl 还 没有 创建 。 

例 1， 创 建 数据 库 dbl: 

MariaDB>create database dbl; 

例 2， 选 择 数据 库 ( 打 开 数 据 库 ): 


MariaDB>use dbl; 
MariaDB [dbl]> 


新 建 数据 库 和 打开 数据 库 如 图 2-42 所 示 。 





MariaDB [mysql]> create database dbl 
Query OK, 1 row affected (8.31 sec) 


MariaDB [mysql]> use dbl 
Database changed 
MariaDB [db1]> _ 





图 2-42 ”新建 数据 库 和 打开 数据 库 
千 注意 : use dbl 数据 库 执 行 后 ， 提 示 符 变 成 了 “MariaDB [db1]>”， 表 示 当 前 打开 操 
作 的 数据 库 是 dbl 了 。 接 下 来 ， 就 可 以 对 dbl 数据 库 执行 增删 改 查 操作 了 。 
5. 备份 /恢复 数据 库 
例 1， 把 数据 库 dbl 备份 到 backupdb1.sql， 如 图 2-43 所 示 。 


#mysqldump -u root -plxgl23 dbl>/root/backupdbl.sql 
#cat /root/backupdbl.sql 





图 2-43 使 用 mysqldump 备份 数据 库 db1 
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例 2， 把 backupdb1.sql 中 的 信息 恢复 到 数据 库 db1， 如 图 2-44 所 示 。 

如 果 目 标 数据 库 dbl 还 不 存在 ， 就 执行 命令 创建 dbl 数据 库 : 

#mysqladmin -u root -plxgl23 create "dbl" 

在 目标 数据 库 服务 器 上 执行 create dbl 创建 dbl 数据 库 后 ， 把 信息 导入 数据 库 : 


#mysqldump -u root -plxgl23 dbl </root/backupdbl.sql 


[rootB@liuxuegong ~]# mysqldump 
MySQL dump 18.14 Distrib 5.5.52-MariaDB, for Linux (x86_64 


Host: localhost Database: dbl 





Server version 5.5.52-MariaDB 
2-44 ”使 用 mysqldump 恢复 数据 库 db1 


命令 执行 时 ， 要 把 源 数据 库 服务 器 和 目标 数据 库 服务 器 蔡 换 为 你 当前 配置 的 主机 名 或 
者 IP 地址 。 

备份 时 ，> 是 输出 重 定向 ， 把 要 备份 的 信息 输出 到 备份 文件 中 ;恢复 时 ，< 是 输入 重 定 
向 ， 把 备份 文件 的 信息 作为 输入 ， 存 到 指定 数据 库 中 。 

例 3， 在 本 地 主机 上 备份 和 恢复 dbl 数据 库 。 

备份 时 添加 --databases 选项 ， 可 以 自动 在 备份 文件 中 添加 sql 建 库 语 句 ， 这 样 ， 恢 复 时 
就 不 需要 手动 建立 数据 库 dbl 了 ， 如 图 2-45 所 示 。 

#mysqldump -u root -p --databases dbl >/root/backupdb11.sql 

#cat /root/backupdbll1.sql 


Current Databa 


CREATE DATABASE “*f+32312Z IF NOT EXISTS* dbl 





db1 





2-45 ”备份 数据 库 时 生成 SQL 命令 
当 恢 复数 据 时 ， 目 标 数据 库 服务 器 里 没有 dbl 数据 库 也 不 需要 再 创建 : 


#mysqldump -u root -plLxgl23 dbl < /root/backupdbll1.sqgl 

#1s -1 /root/backupdb* .sql 

恢复 数据 时 ， 因 为 备份 文件 中 有 建立 dbl 数据 库 的 SQL 命令 ， 会 自动 执行 命令 创建 并 
打开 dbl 数据 库 ， 把 数据 导入 到 数据 库 中 ， 此 时 无 法 导入 其 他 名 字 的 数据 库 ， 除 非 你 去 修 
改 备份 文件 中 自动 生成 的 SQL 命令 。 

例如 ， 在 本 地 主机 上 备份 和 恢复 所 有 数据 库 ， 如 图 2-46 所 示 。 

#mysqldump -u root -plxgl123 --all-databases >/root/backupdb111.sdql 


#mysqldump -u root -plxgl23 </Froot/backupdbl111.sdql 
#1s -1 /root/back* 





项 目 二 常用 服务 的 配置 和 使 用 属 天 


oot/backupdb111 .sql 
Apr 19 11:83 kupdb11 .sql 


1268 Apr 18 18:36 /root/backupdb1.sql 





2-46 不 同 备份 选项 下 的 备份 文件 大 小 


从 三 个 备份 文件 大 小 可 以 看 出 ，dbl 的 备份 文件 没有 生成 SQL 语句 ， 共 1260 字 节 ; 
使 用 了 --databases 选项 后 的 文件 backupdb11 生成 了 SQL 语句 ， 增 大 了 136 字 节 ; 而 使 用 
--all-databases 选项 备份 所 有 数据 库 的 backupdb111 则 体积 达 500KB 以 上 。 

6. 导入 数据 库 文件 的 命令 

部 署 数据 库 服务 器 时 ， 通 常会 在 源 主机 上 把 数据 库 的 结构 建 库 语句 生成 后 保存 为 SQL 
文件 ， 然 后 在 要 部 署 的 目标 服务 器 上 直接 执行 此 SQL ee 即 可 快速 生成 目标 数据 库 。 要 
执行 此 脚本 快速 建 库 ， 可 执行 以 下 指令 : 

MariaDB>source mysql.sql; 

例如 使 用 use db2 打开 数据 库 ， 使 用 source 命令 执行 SQL 脚本 生成 数据 库 。 由 于 当前 
数据 库 里 面 没有 表 ， 也 没有 数据 记录 ， 所 以 看 不 到 明显 效果 。 但 是 在 实际 部 署 的 数据 库 
中 ， 通 常 包括 几 十 个 表 和 海量 数据 ， 此 时 就 可 以 明显 提升 效率 、 降 低 工 作 量 了 。 




















2.13.2 MySQL 的 常用 命令 


MySQL 操作 数据 库 要 使 用 大 量 的 命令 ， 这 里 列举 最 常用 的 操作 命令 ， 如 表 2-12 所 
示 ， 试 运行 并 分 析 命 令 效果 。 


表 2-12 MySQL 的 常用 命令 


























MySQL 的 常用 功能 命令 语法 

列 出 数据 库 show databases: 

选择 数据 库 use databaseName: 

列 出 表格 show tables: 

显示 表格 列 的 属性 show columns from tableName; 

建立 数据 库 create database name; 或 source fileName; 

删除 数据 库 drop database name: 

进行 授权 grant select on db1.* to us1(@“%’ identified by “1”; 
revoke all privileges on *.* 位 om us1(@"%” 

删除 授权 delete from user where user=“us1” and host="%"; 
flush privileges: 

显示 版 本 和 当前 日 期 select Version().current date: 

查询 时 间 select now(); 

查询 当前 用 户 select user():; 
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MySQL 的 常用 功能 











查询 数据 库 版 本 | select version(); 
查询 当前 使 用 的 数据 库 | select database(); 
查询 表 的 字段 信息 desc 表 名 称 ; 





完 狼 


字符 ， 


人 - 
草 


扰 、: 


命令 中 可 以 使 用 匹配 
字符 囊 。 


2.13.3 ”对 数据 库 进 行 管理 


还 注 


可 以 


守 和 狼 


字符 ， 


用 通配符 _ 代 表 任 何 一 个 字符 ，% 代 表 任何 


对 数据 库 的 基本 管理 包括 创建 新 表 ， 对 表 中 记录 进行 增删 改 查 操作 ， 删 除 表 等 。 
例如 ， 在 数据 库 dbl 中 创建 表 students， 如 图 2-47 所 示 。 


use dbl; 
create table students 
( 


id int not null auto increment, 


name Varchar (20) not null default 'student', 


description varchar (20) ， 
primary key ('"id') 
) 7 

MariaDB [(none)]> use 


changed 
[dab1]> create 


db1 


a not null auto 


primary 


increment 
student”， 


) 
Queru 0K，8 rows affected (8.85 sec) 


MariaDB [db1] 





命令 说 明 : 
create table 是 创建 表 的 
用 逗号 分 隔 ， 括 号 结束 时 ， 后 面 要 加 分 号 


id、name、description 是 字段 名 称 。 





id 字段 设 定 中 ，int 设 定 字段 为 整数 类 型 ，not 
段 系 统 将 





auto_increment 设 定 自 动 递 增 ， 这 种 类 型 





students 是 表 名 称 ， 


图 2-47 在 db1 数据 库 中 新 建 表 students 


Em 


后 面 括号 里 面 是 表 结 构 定 义 ， 字 段 间 





须 


a3 


null 设 定 非 空 ， 


动 加 1 赋值 。 


意思 是 必 


赋值 ; 











name 字段 设 定 中 ，varchar(20) 设 定 





字符 


和 类型， 长 度 为 20; not null 设 定 非 空 ， 


default“student" 指 定 当 没有 赋值 时 ， 此 字段 默认 值 是 student。 总 的 意思 是 这 个 字段 可 以 存 





放 20 字符 长 度 的 字符 





description 字段 设 定 字符 串 类 型 ， 
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和 ， 必 须 赋 值 ， 如 果 没 有 赋值 
长 度 为 20。 
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的 话 ， 就 设 定 值 为 默认 值 “student”。 


项 目 二 “常用 服务 的 配置 和 使 用 叙 天 
primary key 设 定 表 的 主键 是 id 字段 。 
因 注意 : ”完成 相应 操作 需要 权限 ， 如 果 没 有 足够 权限 ， 就 需要 进行 授权 后 再 执行 。 
例如 ， 向 表 students 新 增 记录 ， 如 图 2-48 所 示 。 


insert into students (name,description) values('liuxuegong', 'teacher'); 
insert into students (name,description) values('zhangsan', 'monitor'); 
insert into students (name,description) values('lisi','student'); 


MariaDB [db1]> insert into students(name ,de 
Query OK, 1 row affected (8.85 sec) 


MariaDB [db1]> insert into students(name,de 


Queru 0K，1 row affected (8.88 sec) 


MariaDB [db1]> insert into students(name,de 
Queru 0K，1 row affected (8B.87 sec) 





图 2-48 向 students 表 中 添加 三 条 记录 


命令 说 明 : 

使 用 insert into students 命令 向 表 students 中 添加 三 条 记录 。 

如 果 是 添加 所 有 字段 的 值 ， 表 名 称 后 不 需要 跟 字 段 名 称 列表 。 如 果 添 加 部 分 字段 的 值 
(所 有 必 填 字段 必须 赋值 )， 表 名 称 后 面 必须 附带 要 添加 字段 列表 。 
values 后 面 跟 的 是 各 字段 的 值 ， 如 果 表 名 称 后 有 字段 列表 ， 值 的 顺序 要 与 列表 顺序 一 
这 样 才 可 以 对 应 赋值 。 如 果 表 名 称 后 面 没 有 附带 字段 列表 ， 则 按照 表 的 字段 定义 顺序 
-对 应 。 
auto_increment 类 型 字段 由 系统 自动 赋值 。 

下 面 的 操作 示例 ， 都 是 从 表 students 进行 查询 。 

(1) 显示 students 表 的 所 有 信息 ， 如 图 2-49 所 示 。 


select * from studentss 











样 


MariaDB [db1] elect * from student 


1 id | name 1 descrition 


liu>xuegong } tea 
zhangsan } monitor 
! tudent 


3 rows in set (8.88 sec) 





图 2-49 查看 students 表 的 所 有 信息 
命令 说 明 : 
select 是 查询 命令 ， 后 面 跟 查 询 的 字段 列表 ，* 代 表 所 有 字段 。 
from 后 跟 要 查询 的 表 名 称 。 
命令 表示 查询 students 表 中 所 有 字段 的 信息 ， 没 有 额外 声明 ， 返 回 对 象 就 是 查询 得 
到 的 所 有 记录 。 如 果 只 要 第 一 条 结果 ， 可 以 在 select 后 面 加 上 “top 1”。 


mmm@ Linux 网 络 操作 系统 项 目 教程 


(2) 显示 students 表 中 的 所 有 人 的 序号 和 姓名 ， 如 图 2-50 所 示 。 


select id,name from students; 


ect id,name from students; 


1 name ! 
! 
! 


| 


rows in set (8.88 





2-50 查看 students 表 中 所 有 人 的 id 和 name 属性 


命令 说 明 : 

select 后 面 跟 查 询 的 字段 列表 ， 各 查询 字段 用 逗号 分 隔 。 

from 后 跟 要 查询 的 表 名 称 。 

(3) 显示 students 表 中 的 所 有 的 学 生 序号 和 姓名 ， 如 图 2-51 所 示 。 


select id,name from students where description='student'; 


MariaDB [db1]> select id,name from students where description=’ student’ 
id | nam 





图 2-51 查看 students 表 中 的 学 生 信息 





古 且 . < 


where 后 面 跟 查 询 的 筛选 条 件 ， 此 处 设 定 的 是 满足 条 件 description 字段 的 值 是 "student 
的 记录 。 
(4) 显示 students 表 中 的 所 有 的 学 生 和 班长 的 序号 和 姓名 ， 如 图 2-52 所 示 。 


select id,name from students where description='studqent' or 
description="'monitor'; 


MariaDB [ab1i lect id,name from student 
-> where description=’student’ or de iption=’Ditor’” 


! 
+ 
! 
! 


nangsan 


-一 一 


rows in set (8.82 sec) 





图 2-52 ”查看 students 表 中 学 生 和 班长 的 记录 信息 
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命令 说 明 : 
后 跟 两 


where 


项 目 二 常用 服务 的 配置 和 使 用 


即 可 ， 如 果 使 用 and， 则 表示 两 个 条 件 要 同时 满足 。 
例 1， 从 表 students 删除 lisi 的 记录 ， 如 图 2-53 所 示 。 


select * from Students where name= 


Ne 


delete from students where name="'lisi'; 


select * from students where name= 


MariapB [db 
id 1 name 
3 1 lisi 


1] 
iad 


student 


i 


elect < from students where name=’ lisi’; 


escrition ! 


个 筛选 条 件 ， 中 间 用 or 连接 ， 表 示 或 者 的 意思 ， 两 个 条 件 满足 任意 一 条 


1 row in set (8.88 sec) 


MariaDB [db1]> delete from student 
Query OK, 1 row affected (8.87 sec) 


where name=’ 


MariaDB [db1]> select * from 
Empty set (8.88 sec) 


tudents where name=” 





2-53 ”删除 students 表 中 lisi 的 记录 


命令 说 明 : 
delete 是 删 
如 果 不 设 定 where 条 件 ， 
执行 select 命令 是 


FA As 人 
除 命令 。 





那么 将 删除 表 中 的 所 有 记录 。 


命令 是 为 了 查看 删除 的 效果 对 照 ， 


删除 后 ， 可 以 看 到 ， 


Empty， 说 明 lisi 记录 已 经 被 删除 了 。 


例 2， 将 张 


:的 description 字段 修改 为 "Banzhang"， 如 图 2-54 


4 所 示 。 


select * from students where name='zhangsan'; 
update students set description='Banzhang' where name='zhangsan'7 
select * from students where name='zhangsan'; 


MariaDB [db1]> 


se 


lect * from students where name="’ Zl 


查询 结果 变 成 了 





hangsan’ ; 
1 id 1 name 1 descrition 

angsan 1 monitor 
1 row in set (96.69 sec) 
MariaDB [db1]> update students 
ow affected (B.85 
1 Changed: 


et des 
sec) 
1 Warnings: 8 


rition=’Banzhang’ where 


Query Ok, 1 
Rows matched: 


MariaDB [db1]> tudents where name=’zhangsan’; 


1 row in set (8.88 sec) 





图 2-54 修改 students 表 中 zhangsan 记录 的 description 字段 的 值 
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命令 说 明 : 

update 是 修改 更 新 命令 ， 后 面 跟 表 名 称 students。 

set 后 面 跟 字段 名 = 值 ， 如 果 修 改 多 个 字段 ， 用 逗号 分 隔 。 
where 设 定 过 滤 筛 选 的 条 件 。 

select 查询 是 为 了 显示 修改 效果 。 

例 3， 删 除 表 students， 如 图 2-55 所 示 。 






































show tables; 
drop table students; 
show tables; 


MariaDB [db1]> show table 


1 Tables_in_dbl | 
1 student 
1 row in set (8.88 sec) 


MariaDB [db1]> dro ab 
Query Ok, 8 rows affe 


MariaDB [db1] how 
Empty set (8.88 sec) 





图 2-55 删除 students 表 
命令 说 明 : 
drop table 是 删除 表 的 命令 。show tables 是 查看 所 有 表 ， 用 来 显示 命令 效果 。 
删除 后 再 查看 表 ， 可 以 看 到 结果 是 Empty， 表 示 当 前 数据 库 已 经 没有 表 了 ， 即 唯一 的 
表 students 已 经 被 删除 。 


2.14 一 键 安装 LAMP 


安装 LAMP 是 在 Linux 环境 下 部 署 应 用 的 开始 ，LAMP 的 基本 安装 虽然 并 不 困难 ， 但 
是 对 于 刚 接触 使 用 Linux 的 人 来 说 ， 还 是 需要 一 个 接受 和 学 习 的 过 程 的 。 为 了 让 不 熟练 的 
用 户 也 可 以 方便 地 使 用 LAMP 平台 建设 自己 的 应 用 ， 可 以 使 用 一 键 安装 的 方式 部 署 LAMP 
环境 。 





2.14.1 LAMP 一 键 安 装 包 简介 


LAMP 非常 普及 ， 部 署 LAMP 的 一 键 安装 包 也 有 很 多 种 流传 。 这 里 选择 的 是 
teddysum 的 LAMP 一 键 安装 脚本 。 该 一 键 安装 脚本 的 软件 版 本 更 新 及 时 ， 支 持 PHP 及 数 
据 库 自 选 安装 。 支 持 PHP 和 数据 库 程序 自助 升级 。 安 装 方便 ， 支 持 众 多 PHP 插件 ， 是 构 
建 性 能 优良 LAMP 环境 的 好 选择 。 

在 实际 工作 中 ， 可 以 根据 自己 的 建站 要 求 ， 在 脚本 执行 时 选择 合适 的 软件 版 本 安装 。 

当然 ， 也 可 以 选择 其 他 的 一 键 部 署 工 具 。 
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项 目 二 常用 服务 的 配置 和 使 用 属 


1. 系统 需求 

内 存 要 求 不 少 于 512MB; 硬盘 至 少 有 2GB 以 上 的 剩余 空间 ; 服务 器 必须 配置 好 yum 
软件 源 和 可 连接 外 部 互联 网 ， 必 须 具 有 系统 root 权限 ; 建议 使 用 干净 系统 做 全 新 安装 。 

2. 组 件 支持 


支持 PHP 自 带 的 几乎 所 有 组 件 。 支 持 MySQL、MariaDB 、Percona 数据 库 。 
支持 可 选 安装 组 件 Redis 、XCache、Swoole 、Memcached 、ImageMagick 、Graphics 
Magick、 ZendGuardLoaderionCube PHP Loader。 


3. 部 分 特性 


自助 升级 Apache、PHP、phpMyAdmin、MySQL/MariaDB/Percona 至 最 新 版 本 。 
使 用 lamp 命令 在 命令 行 下 新 增 虚拟 主机 ， 操 作 简便 。 
支持 一 键 务 载 。 


2.14.2 ”使 用 一 键 安装 包 进行 LAMP 安装 


还 注意 : ”不 要 在 已 经 配置 好 LAMP 环境 的 计算 机 上 再 进行 此 脚本 的 安装 ， 以 免 造 成 
混乱 。 建 议 在 纯净 CentOS 7 最 小 化 安装 环境 下 安装 。 


在 企业 环境 下 ， 安 装 前 ， 需 要 安装 wget、screen、unzip 工具 ， 创 建 screen 会 话 。 这 
样 ， 在 远程 登录 服务 器 安装 LAMP 环境 时 ， 即 使 连接 中 断 ， 也 不 影响 安装 过 程 。 如 果 是 本 
地 直接 登录 服务 器 安装 ， 就 不 需要 screen 了 。 


#yum -Y install wget screen unzip 


(1) 下 载 、 解 压 、 赋 予 执行 权限 : 


#cd /root 

#wget -0 lamp.zip https://github.com/teddysun/lamp/archive/master.zip 
#unzip lamp.zip 

#cd lamp-master/ 

#chmod +x *.sh 


使 用 wget 命令 下 载 LAMP 的 一 键 安装 包 master.zip， 使 用 unzip 对 zip 文件 解压 缩 ， 
进入 解压 后 的 文件 夹 lamp-master， 把 目录 下 的 所 有 .sh 脚本 文件 赋予 执行 x 权限 。 

(2) 安装 LAMP 一 键 安装 包 : 

#screen -S lamp 

#./lamp.sh 

由 于 LAMP 安装 需要 花费 一 定时 间 ， 如 果 步 又 中 某 个 命令 执行 了 很 长 时 间 ， 就 可 能 导 
致 连接 超时 ， 从 而 中 断 对 远程 服务 器 的 连接 控制 ， 使 得 安装 无 法 继续 进行 。 在 通过 网 络 远 
程 连接 服务 器 时 ， 使 用 screen 会 话 可 以 保证 即使 连接 会 话 中 断 ， 安 装 仍然 可 以 继续 进行 。 
如 果 是 在 虚拟 机 上 直接 执行 安装 命令 ， 就 不 用 执行 screen 命令 了 。 
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2.14.3 LAMP 一 键 安装 使 用 说 明 


(1) LAMP 默认 安装 设置 。 
使 用 一 键 安装 软件 包 安 装 LAMP 环境 ， 会 为 每 个 组 件 进行 配置 ， 通 过 学 习 各 服务 的 配 
置 方法 ， 可 以 有 效 增强 对 LAMP 环境 的 掌握 ， 也 是 学 习 LAMP 的 好 方法 。 
根据 用 户 选择 ，LAMP 环境 各 组 件 将 自动 安装 ， 表 2-13 是 各 功能 组 件 的 安装 位 置 。 
表 2-13 LAMP 安装 组 件 目录 














安装 的 功能 组 件 所 在 目录 
默认 的 网 站 根 目 录 /data/www/default 
MySQL 安装 目录 /usr/local/mysql 
MySQL 数据 库 目 录 /usr/local/mysql/data 
MariaDB 安装 目录 /usr/local/mariadb 
MariaDB 数据 库 目 录 /usr/local/mariadb/data 
Percona 安装 目录 /usr/local/percona 
Percona 数据 库 目 录 /usr/local/percona/data 
PHP 安装 目录 /usr/local/php 
Apache 安装 目录 /usr/local/apache 


(2) 各 模块 的 配置 文件 所 在 位 置 如 表 2-14 所 示 。 
表 2-14 LAMP 各 功能 模块 配置 文件 的 位 置 
功能 模块 


Apache 日 志 目 录 
Apache SSL 配置 文件 


配置 文件 位 置 
/usr/local/apache/logs 


/usr/local/apache/conf/extra/httpd-ssl.conf 





新 建站 点 配置 文件 /usr/local/apache/conf/vhost/domain.conf 
PHP 配置 文件 /usr/local/php/etc/php.ini 
PHP 所 有 扩展 配置 文件 目录 /usr/local/php/php.d/ 








MySQL/MariaDB 配置 文件 /etc/my.cnf 


(3) 管理 虚拟 主机 。 
Q 创建 虚拟 主机 : 
#1lamp add 虚拟 主机 名 称 
@ ”删除 虚拟 主机 : 
#1amp del 虚拟 主机 名 称 
图 列 出 虚拟 主机 : 
#1amp 1ist 虚拟 主机 名 称 
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项 目 二 常用 服务 的 配置 和 使 用 属 要 


(4) 软件 升级 。 

中 ”交互 选择 升级 对 象 : 

#./upgrade.sh 

@ 升级 Apache: 

#./upgrade.sh apache 

@ ”升级 数据 库 MySQL/MariaDB/Percona: 
#./upgrade.sh db 


@ 升级 PHP: 
#./upgrade.sh php 

@ 升级 phpMyAdmin: 
#./upgrade.sh phpmyadmin 
(5) 外 载 LAMP: 


-/uninstal1.sh 


2.14.4 执行 一 键 安装 可 能 产生 的 问题 


(1) 安装 完 网 站 程序 ， 升 级 或 安装 插件 等 报错 ， 如 何 更 改 网 站 目录 权限 ? 

以 root 登录 后 ， 运 行 : 

#chown -R apache:apache /data/www/ 域 名 / 

(2) 安装 时 因 内 存 不 足 报 错 ， 不 能 完成 安装 怎么 办 ? 

当 RAM + Swap 的 容量 小 于 480MB 时 ， 直 接 退 出 脚本 运行 ，480~600MB 时 ， 新 增 
PHP 编译 选项 --disable-fileinfo。 

小 于 512MB 的 虚拟 机 建议 开启 Swap， 加 大 内 存 容量 上 限 。 

(3) 将 MySQL 数据 库 换 成 MariaDB 数据 库 ， 应 该 怎样 做 ? 

备份 所 有 数据 库 ， 执 行 命令 : 


#/usr/local/mysql/bin/mysqldump -u root -p 密 码 --all-databases > 
/root/mysql .dump 


卸载 LAMP， 使 用 命令 : 


#1lamp uninstall 


重新 安装 LAMP， 选 择 MariaDB。 
安装 完成 后 ， 恢 复数 据 库 内 容 ， 使 用 如 下 命令 : 


#/usr/local/mariadb/bin/mysql -u root -p < /root/mysql.dump 
和 即 载 LAMP 时 ， 是 不 会 删除 /data/www/default 的 ， 也 就 是 说 不 会 删除 网 站 数据 。 但 数 
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据 库 会 被 删 掉 ， 因 此 需要 备份 。 
阁 注意 : 


下 
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考虑 到 程序 兼容 性 问题 ， 建 议 不 要 进行 这 类 操作 ， 换 数据 库 一 定 要 谨慎 。 应 
该 事先 就 规划 好 用 哪 种 数据 库 ， 选 定 后 不 要 轻易 更 改 。 如 果 一 定 要 换 的 话 ， 
一 定 要 先 掌握 好 备份 和 恢复 数据 库 的 相关 技巧 。 


(4) ”如何 更 改 网 站 的 默认 目录 ? 

修改 配置 文件 /usr/local/apache/conf/extra/httpd-vhosts.conf 里 的 DocmentRoot 目录 以 及 
的 Directory， 再 重启 Apache 即 可 。 

(5) 如 何 卸 载 phpMyAdmin? 

phpMyAdmin 如 果 不 需要 的 话 ， 直 接 删除 其 目录 就 OK 了 。 

默认 安装 位 置 是 /data/www/default/phpmyadmin/。 

(6) CentOS 7 下 安装 完成 后 为 什么 打 不 开 网 站 ? 

安装 LAMP 完成 后 ， 无 法 用 IP 访问 网 站 。 查 看 进程 ， 发 现 httpd 和 mysqld 也 启动 
，ping 也 没 问 题 ， 但 就 是 无 法 访问 。 


通常 是 因 





为 防火 墙 拦截 请 求 的 缘故 ， 可 以 暂时 关闭 防火 墙 再 试 一 下 : 


#systemctl stop firewalld.service 


上 机 实 训 : 常用 服务 的 配置 和 使 用 


本 实 训 步 又 自行 设计 ， 抓 图 记录 每 个 操作 步骤 ， 并 对 结果 进行 简要 分 析 ， 对 遇 到 的 故 
障 和 解决 方法 进行 记录 并 分 享 。 

可 参照 教材 完成 实 训 步骤 设计 。 

为 每 一 实 训 任务 单独 编写 实 训 报告 并 提交 。 

1. 实 训 任 务 列表 


任务 一 : 
任务 二 : 
任务 三 : 
任务 四 : 
任务 五 : 
任务 六 : 
任务 七 : 


使 用 安装 光盘 创建 yum 本 地 仓库 。 
DHCP 服务 器 的 配置 与 管理 。 

DNS 服务 器 的 配置 与 管理 。 

Web 服务 器 的 配置 与 管理 。 

搭建 LAMP 环境 。 
数据 库 的 基本 操作 。 

使 用 一 键 安装 脚本 搭建 LAMP 环境 。 


2. 实 训 步 又 ( 略 ) 


巩 目 二 


服务 器 的 日 常 管理 和 运 维 
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项 目 导 入 


公司 网 络 和 业务 正常 运行 后 ， 日 常 还 会 有 各 种 大 小 问题 出 现 ， 这 就 需要 维护 人 员 去 解 
决 ， 有 时 候 解 决 这 些 问题 耗 时 太 多 ， 甚 至 影响 到 对 服务 器 的 日 常 管理 任务 。 这 就 需要 维护 
人 员 好 好 思考 ， 怎 样 提 升 工作 效率 ， 怎 样 优先 保证 服务 器 的 管理 和 维护 任务 不 受 影响 。 作 
为 网 络 管理 者 ， 要 做 好 每 天 的 日 常 工作 ， 就 必须 掌握 一 些 技巧 ， 才 能 做 到 事半功倍 。 


项 目 分 析 


一 个 好 的 网 络 管理 者 ， 要 时 刻 掌握 系统 的 运行 状况 ， 需 要 定时 采集 系统 的 种 种 运行 数 
据 ; 为 每 个 可 能 的 问题 采取 应 对 策略 ， 需 要 对 系统 的 薄弱 环节 进行 探查 和 分 析 ， 做 到 心里 
有 数 ; 要 对 可 能 出 问题 的 重要 目标 设 定 预警 ， 有 可 疑 情况 或 者 可 能 发 生 故 障 要 提前 通知 管 
理 员 ， 及 早 关 注 和 防范 ， 并 及 时 处 理 问 题 ; 要 设置 好 远程 管理 功能 ， 这 样 才 能 随时 地 在 任 
何 地 方 对 系统 中 的 问题 进行 处 理 ; 当 故 障 已 经 出 现 的 时 候 ， 如 果 能 尽快 恢复 系统 和 数据 ， 
那么 很 可 能 不 仅 不 会 受 处 分 ， 反 而 会 因为 精彩 的 表现 为 自己 获得 加 分 ， 当 然 ， 要 做 到 这 
点 ， 事 前 备份 一 定 要 搞 好 。 

本 项 目 介 绍 对 服务 器 系统 进行 日 常 管理 的 方方面面 的 方法 和 技巧 ， 通 过 本 项 目的 学 
习 ， 能 够 掌握 服务 器 的 监控 技巧 、 查 看 日 志 的 技巧 、 远 程 管理 的 技巧 和 备份 的 技巧 。 

能 力 目标 

熟练 掌握 服务 器 监控 技巧 。 

掌握 查看 相关 日 志 的 技巧 。 

熟练 掌握 远程 管理 的 技巧 。 

熟练 掌握 备份 的 技巧 。 

知识 目标 

了 解 进行 系统 监控 的 意义 ， 监 控 的 主要 目标 。 

了 解 不 同日 志文 件 中 存放 的 各 种 信息 内 容 和 格式 。 

了 解 远程 管理 的 概念 和 相关 知识 。 

了 解 备份 的 概念 和 相关 知识 。 


任务 一 : 服务 器 的 日 常 管理 


在 这 一 部 分 中 ， 我 们 要 关注 三 个 问题 : 日 常 管理 管 什么 ? 为 什么 说 日 常 管理 很 重要 ? 
如 何 进行 日 常 管理 ? 
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项 目 三 服务 器 的 日 常 管理 和 运 维 全 
知识 储备 
3.1 服务 器 的 日 常 管 理 管 什 么 


服务 器 上 运行 着 各 种 服务 和 应 用 ， 是 互联 网 业务 的 核心 。 要 保证 服务 器 能 够 几 个 月 其 
至 几 年 、 几 十 年 持续 不 间断 地 运行 ， 对 管理 提出 了 很 高 的 要 求 。 服 务 器 管理 涉及 到 的 内 容 
和 知识 繁多 ， 这 里 ， 选 取 了 最 为 基础 、 重 要 和 常用 的 技术 。 

按照 管理 目标 分 类 ， 服 务 器 的 管理 可 以 分 为 对 服务 器 硬件 的 管理 、 对 服务 器 软件 的 管 
理 和 对 数据 安全 与 保密 的 管理 。 按 照管 理 的 行为 特性 和 时 间 分 类 ， 可 以 分 为 事前 准备 、 应 
急 响 应 和 事后 处 理 。 


3.1.1 对 服务 器 硬件 的 日 常 管理 和 维护 








对 于 服务 器 来 说 ， 绝 大 多 数 的 管理 工作 都 处 于 事前 准备 阶段 。 当 故障 发 生 时 ， 损 失 已 
经 注定 ， 之 后 的 应 急 响 应 和 事后 处 理 都 是 为 了 减少 和 弥补 损失 。 所 以 ， 未 雨 绸 缪 对 服务 器 
来 说 十 分 重要 。 

服务 器 硬件 由 CPU、 内 存 、 存 储 设备 、 网 络 设备 、 电 源 和 其 他 设备 构成 。CPU 的 主 频 
和 数量 决定 了 服务 器 的 处 理 能 力 ; 内 存 是 系统 运行 时 的 直接 存储 设备 ， 容 量 大 小 和 速度 直 
接 决 定 了 能 承担 的 业务 应 用 规模 和 所 服务 的 用 户 数量 ;存储 设备 则 是 海量 数据 的 真正 存储 
位 置 ， 当 需要 调 取 数据 时 ， 从 存储 设备 传递 到 内 存 ， 是 业务 的 基础 和 支撑 ; 网 络 设备 也 很 
重要 ， 用 户 通信 都 是 来 自 网 络 ， 所 有 的 交互 数据 都 通过 网 络 设备 来 进行 转发 和 传递 ， 电 源 
也 不 能 忽视 ， 对 于 电子 设备 来 说 ， 电 源 是 最 基础 的 要 求 ， 保 证 持续 稳定 地 供电 是 服务 器 能 
正常 工作 的 直接 基础 。 

业务 应 用 规模 和 用 户 数量 的 估算 ， 从 基础 上 决定 了 服务 器 的 最 低 配 置 要 求 ， 在 此 基础 
上 ， 按 照 业务 的 需求 特性 ， 可 以 对 服务 器 的 性 能 进行 强化 。 增 加 CPU 的 数量 可 以 提供 处 
理 能 力 ， 提 高 内 存 可 以 负载 更 复杂 的 应 用 和 更 多 的 用 户 ; 更 大 的 存储 设备 能 存放 更 多 的 数 
据 等 。 为 了 保证 服务 器 硬件 出 现 故障 时 仍 可 继续 工作 ， 服 务 器 通常 还 会 强化 两 个 重要 的 特 
性 : 元 余 和 热 插 拔 。 

元 余 机 制 通过 增加 额外 设备 来 保证 的 ， 当 设备 故障 时 ， 还 有 至 少 一 个 见 余 的 设备 还 可 
以 继续 工作 ， 保 证 业务 不 中 断 ; 热 插 拔 技术 可 以 实现 当 设备 有 故障 时 ， 在 服务 器 不 断 电 重 
启 的 情况 下 ， 可 带电 印 下 故障 设备 ， 然 后 更 换 上 新 设备 。 对 于 可 靠 性 要 求 较 高 的 服务 器 ， 
CPU、 内 存 、 存 储 器 、 网 卡 、 电 源 等 ， 都 应 该 考虑 实现 元 余 和 热 插 拔 。 

一 台 按 需 定制 、 设 计 良 好 的 服务 器 ， 可 以 从 根本 上 解决 多 数 的 硬件 问题 ， 大 大 提升 系 
统 的 稳定 性 和 可 靠 性 。 能 够 按 需 设计 或 者 购买 服务 器 是 服务 器 管理 事前 准备 的 重要 内 容 。 

对 服务 器 的 配置 部 署 要 有 计划 地 进行 ， 最 好 能 够 在 正式 部 署 前 在 虚拟 机 或 者 服务 器 上 
进行 测试 ， 以 提早 发 现 问题 ， 部 署 完 成 后 要 进行 充分 的 测试 ， 对 应 用 、 平 台 、 系 统 的 各 方 
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下 进行 配置 和 优化 ， 并 强化 安全 设置 。 
服务 器 投入 正式 运行 后 ， 为 了 防止 故障 发 生 ， 需 要 对 系统 运行 进行 定时 监测 ， 对 
CPU、 内 存 、 网 络 等 各 重要 部 件 随时 检查 工作 状态 ， 并 经 常 性 地 进行 统计 分 析 ， 一 旦 确定 
存在 事故 隐患 ， 例 如 CPU 繁忙 、 内 存 不 足 、 网 络 阻塞 等 ， 即 应 该 立刻 分 析 原 因 ， 提 前 处 
理 ， 这 是 服务 器 管理 的 重 中 之 重 。 

为 了 提高 故障 应 急 响应 能 力 ， 为 系统 制订 合理 的 备份 与 恢复 策略 ， 对 系统 的 重要 文件 
和 数据 进行 备份 ， 这 样 ， 当 事故 发 生 时 ， 可 以 较 快 地 恢复 系统 运行 。 

为 了 防止 外 界 入 侵 ， 保 护 系统 和 数据 安全 ， 对 服务 器 定期 实施 安全 检测 也 十 分 重要 。 

另外 ， 除 了 考虑 服务 器 本 身 之 外 ， 要 保证 服务 器 能 正常 提供 服务 ， 还 需要 考虑 对 网 络 
设备 的 日 常 管理 和 维护 、 对 通信 线路 的 日 常 管理 和 维护 等 。 因 为 缺 了 这 些 ， 服 务 器 就 无 法 
与 用 户 连通 ， 提 供 服 务 就 更 无 从 谈 起 了 。 


3.1.2 ”对 服务 器 软件 的 日 常 管理 和 维护 











I 





软件 的 管理 和 维护 包括 : 操作 系统 的 日 常 管理 和 维护 、 各 种 服务 器 软件 的 日 常 管理 与 
维护 ， 应 用 软件 的 管理 和 维护 。 

在 网 络 操作 系统 配置 完成 并 投入 正常 运行 后 ， 为 了 确保 网 络 操作 系统 工作 正常 ， 网 络 
管理 员 首先 应 该 能 够 熟练 地 利用 系统 提供 的 各 种 管理 工具 软件 ， 实 时 监督 系统 的 运转 情 
况 ， 及 时 发 现 故障 征兆 ， 并 进行 处 理 。 

在 网 络 运行 过 程 中 ， 网 络 管理 员 应 随时 掌握 网 络 系统 配置 情况 及 配置 参数 变更 情况 ， 
对 配置 参数 进行 备份 。 网 络 管理 员 还 应 该 做 到 随 着 系统 环境 的 变化 、 业 务 发 展 需 要 和 用 户 
需求 ， 动 态 调整 系统 配置 参数 ， 优 化 系统 性 能 。 

网 络 正常 运行 中 ， 为 确保 网 络 工作 正常 ， 应 利用 系统 提供 的 各 种 管理 工具 软件 ， 实 时 
监督 系统 的 运转 情况 ， 根 据 需 求 的 改变 ， 动 态 调整 系统 配置 参数 ， 优 化 系统 性 能 ， 确 保 各 
种 系统 软件 服务 运行 的 良好 性 ， 出 现 故 障 时 ， 应 将 故障 造成 的 损失 和 影响 控制 在 最 小 的 范 
围 内 。 

为 了 保证 系统 安全 ， 还 应 进一步 制订 并 执行 计算 机 安全 管理 制度 ， 遵 守 保密 制度 ， 严 
守 商 业 机 密 ， 在 网 络 病毒 的 防护 上 ， 对 网 络 内 的 每 一 台 计 算 机 采取 防 病 毒 措施 ， 及 时 下 载 
更 新 最 新 的 病毒 库 ， 有 效 地 查 杀 已 知 的 各 种 病毒 ， 防 止 服务 器 受 病毒 的 侵害 。 另 外 ， 应 注 
意 普及 常见 病毒 和 网 络 攻击 的 防护 常识 。 

网 络 管理 员 应 为 关键 的 网 络 操作 系统 服务 器 建立 热 备 份 系统 ， 做 好 防 灾 准 备 。 

每 日 定时 对 共享 服务 器 、 数 据 库 服务 器 进行 日 常 维护 ， 监 控 外 部 访问 和 内 部 访问 情 
况 ， 实 时 监控 整个 局 域 网 的 运转 和 网 络 通信 流量 情况 ， 对 计算 机 系统 或 网 络 出 现 的 异常 现 
象 及 时 进行 进程 分 析 、 处 理 ， 并 采取 积极 应 对 措施 ， 针 对 一 些 未 能 及 时 解决 的 问题 或 重要 
的 问题 做 记录 ， 并 分 析 、 解 决 。 
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3.1.3 ”对 应 用 与 数据 的 管理 和 维护 


服务 器 上 运行 的 应 用 类 型 有 很 多 种 ， 每 种 应 用 都 有 自己 的 特色 和 特殊 要 求 。 

例如 网 站 ， 按 照 网 站 主体 性 质 的 不 同 ， 可 以 分 为 政府 网 站 、 企 业 网 站 、 商 业 网 站 、 教 
育 科 研 机 构 网 站 、 个 人 网 站 等 。 不 同类 型 的 网 站 ， 差 别 很 明显 。 

政府 网 站 ， 通 常 是 作为 政府 的 门面 ， 不 会 提供 很 多 的 功能 ， 也 没有 大 量 的 敏感 数据 ， 
但 是 对 安全 和 审核 有 很 高 的 要 求 ， 一 旦 被 黑客 攻击 ， 页 面 发 生 改 动 ， 影 响 就 会 很 坏 。 另 
外 ， 对 可 用 性 要 求 较 高 ， 要 求 提供 稳定 可 靠 的 发 布 服 务 ， 性 价 比 不 敏感 。 

企业 网 站 ， 作 为 企业 的 信息 发 布 平台 ， 数 据 量 通常 也 不 大 ， 一 般 也 不 会 有 很 多 敏感 的 
信息 ， 但 是 如 果 被 攻击 ， 企 业 形象 也 会 受到 伤害 ， 所 以 ， 通 常 也 会 有 一 定 的 安全 要 求 。 

商业 网 站 ， 涉 及 到 金钱 的 流动 ， 所 以 对 安全 的 要 求 极 高 。 由 于 用 户 数量 多 ， 数 据 流量 
大 ， 对 可 用 性 、 数 据 安 全 、 操 作 审核 、 性 能 、 带 宽 都 有 很 高 的 要 求 。 

教育 科研 机 构 网 站 ， 数 据 量 不 算 多 ， 对 安全 保密 要 求 不 敏感 ， 性 能 要 求 也 不 突出 。 

个 人 网 站 对 性 价 比 非常 注重 ， 其 他 则 根据 网 站 需求 ， 通 常 够 用 即 可 。 

一 般 来 说 ， 政 府 、 教 育 科研 机 构 对 价格 相对 不 敏感 ， 因 为 业务 量 不 大 ， 所 以 对 性 能 要 
求 不 算 突出 ， 但 是 ， 通 常 在 可 用 性 和 安全 性 会 有 一 定 的 要 求 。 所 以 在 软件 选择 上 ， 会 倾向 
于 选择 有 良好 声誉 和 售后 服务 的 公司 ， 对 新 技术 和 新 软件 一 般 不 会 考虑 采用 。 

企业 网 站 、 商 业 网 站 、 个 人 网 站 通常 对 价格 敏感 ， 但 是 互相 之 间 差异 明显 。 普 通 的 企 
业 网 站 对 性 能 不 敏感 ， 安 全 要 求 一 般 ， 所 以 会 倾向 于 价格 适中 的 商业 软件 ， 商 业 网 站 对 新 
技术 人 敏感 性 最 高 ， 会 不 惜 高 价格 获得 最 佳 的 服务 ; 个 人 网 站 则 倾向 于 用 较 低 的 价格 获得 较 
多 的 服务 ， 所 以 免费 和 低 价 优惠 的 业务 会 受到 青睐 。 

可 以 看 出 来 ， 不 同 的 应 用 类 型 ， 对 应 用 安全 和 数据 安全 要 求 差异 很 大 ， 因 而 ， 对 应 的 
软件 选择 和 管理 策略 也 会 存在 差异 。 

应 用 管理 的 主要 任务 有 安装 、 配 置 、 升 级 、 安 装 补丁 、 备 份 还 原 、 安 全 检测 等 。 

应 用 上 线 运行 前 ， 要 进行 多 方面 的 测试 ， 提 前 发 现 和 处 理 遇 到 的 问题 ， 投 入 正式 运行 
后 ， 每 次 升级 操作 都 应 该 在 测试 机 上 操作 无 误 后 再 正式 实施 ， 要 定期 进行 安全 扫描 ， 以 发 
现 安全 隐患 ， 对 业务 数据 要 制订 合理 的 备份 计划 ， 并 严格 执行 。 

对 于 业务 功能 应 用 软件 本 身 ， 有 软件 安装 盘 ， 通 常 不 需要 额外 备份 。 一 般 需 要 重点 备 
份 的 内 容 主要 是 系统 业务 数据 ， 要 坚持 每 一 个 月 内 不 定期 地 做 数据 库 的 完整 备份 。 

所 有 应 用 的 核心 是 数据 ， 对 数据 实施 保护 和 管理 ， 是 最 基础 也 是 最 重要 的 管理 手段 。 


任务 实践 














3.2 ”服务 器 日 常 管 理 的 具体 工作 


作为 网 络 管理 者 ， 根 据 网 络 部 署 情况 和 业务 需求 差异 ， 工 作 任务 内 容 差异 也 许 很 大 。 
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但 总 地 来 说 ， 包 含 以 下 几 方 面 的 内 容 。 

如 果 是 自 建 机 房 ， 需 要 每 天 检查 机 房 的 供电 、 通 风 、 温 度 、 湿 度 、 防 火 等 措施 ， 维 护 
良好 的 工作 环境 ;保持 机 房 整洁 有 序 ， 按 时 记录 网 络 机 房 运行 日 志 ， 制 订 网 络 机 房管 理 制 
度 并 监督 执行 。 保 证 系统 物理 安全 是 最 为 基础 的 要 求 。 

使 用 工具 实时 监控 服务 器 和 网 络 的 运转 及 网 络 通信 流量 情况 ， 了 解 在 线 用 户 的 情况 ， 
对 系统 、 服 务 、 应 用 的 运行 状态 和 流量 情况 做 到 心中 有 数 ， 发 现 故障 征兆 要 及 时 分 析 处 
理 ， 随 着 系统 环境 的 变化 、 业 务 发 展 需要 和 用 户 需求 ， 动 态 调整 系统 配置 参数 ， 优 化 系统 
性 能 。 针 对 主干 设备 的 配置 情况 及 配置 参数 变更 情况 ， 需 备份 各 个 设备 的 配置 文件 。 

查看 日 志 ， 检 查 系统 防火 墙 和 入 侵 检 测 系统 的 相关 信息 ， 使 用 网 络 安全 漏洞 扫描 系 
统 ， 对 系统 进行 检查 ， 并 对 关键 的 网 络 服务 器 采取 容 灾 的 技术 手段 。 

对 于 实时 工作 级 别 要 求 不 高 的 系统 和 数据 ， 按 最 低 限 度 ， 网 络 管理 员 也 应 该 进行 定期 
的 手工 操作 备份 ， 对 于 关键 业务 服务 系统 和 实时 性 要 求 高 的 数据 和 信息 ， 网 络 管理 员 应 该 
建立 存储 备份 系统 ， 进 行 集中 式 的 备份 管理 。 备 份 完成 后 ， 将 备份 数据 随时 保存 在 安全 地 
点 是 非常 重要 的 。 

对 系统 进行 更 改 或 升级 前 ， 需 在 同样 配置 的 测试 系统 验证 正确 后 ， 再 在 正式 运行 系统 
上 操作 ， 对 重要 的 业务 服务 器 ， 做 好 元 余 或 者 热 备 。 一 旦 系统 或 者 业务 出 现 问题 ， 才 可 以 
快速 恢复 ， 或 者 使 用 元 余热 备 等 技术 来 解决 问题 。 

网 络 技术 高 速 发 展 ， 每 时 每 刻 都 可 能 有 新 技术 和 新 发 现 。 对 网 络 管理 者 来 说 ， 养 成 每 
天 查询 最 新 资讯 ， 对 新 技术 进行 不 断 学 习 ， 是 极其 重要 的 。 如 果 刚 刚 公 布 一 个 新 的 bug， 
你 没 能 立刻 看 到 并 修复 自己 的 系统 ， 那 么 ， 服 务 器 就 很 可 能 成 为 网 络 攻击 的 目标 。 


3.2.1 影响 服务 器 性 能 的 几 大 因素 

















1，CPU( 中 央 处 理 器 ) 


CPU 是 操作 系统 稳定 运行 的 根本 ，CPU 的 速度 与 性 能 在 很 大 程度 上 决定 了 系统 整体 的 
性 能 ，CPU 数量 越 多 、 主 频 越 高 ， 服 务 器 性 能 也 就 相对 越 好 。 

为 了 提升 性 能 ， 服 务 器 通常 会 配置 多 CPU。 为 了 发 挥 多 CPU 的 强大 处 理 能 力 ， 操 作 
系统 也 必须 支持 SMP 功能 才 行 。 如 果 服 务 器 配备 两 个 CPU， 每 个 CPU 都 是 双核 的 处 理 
上 器， 那么 逻辑 CPU 的 个 数 就 是 4 个。 在 支持 SMP 的 操作 系统 上 ， 可 以 发 挥 接 近 4 个 CPU 
之 和 的 处 理 能 力 。 

当然 ， 安 装 的 CPU 数量 越 多 ， 获 得 的 性 能 方面 的 提高 就 越 少 。Linux 内 核 会 把 多 核 的 
处 理 器 当 作 多 个 单独 的 CPU 来 识别 ， 例 如 两 个 4 核 的 CPU， 会 被 当 作 8 个 单 核 CPU。 但 
是 ， 从 性 能 角度 来 讲 ， 两 个 4 核 的 CPU 与 8 个 单 核 的 CPU 并 不 完全 等 价 ， 前 者 的 整体 性 
能 要 比 后 者 低 大 概 1/4。 

可 能 出 现 CPU 瓶颈 的 应 用 有 邮件 服务 器 、 动 态 Web 服务 器 等 ， 对 于 这 类 应 用 ， 要 把 
CPU 的 配置 和 性 能 放 在 主要 位 置 。 


(ea. 
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2. 内 存 


内 存 的 大 小 是 影响 Linux 性 能 的 一 个 重要 的 因素 ， 内 存 太 小 ， 系 统 进程 将 被 阻塞 ， 应 
用 也 将 变 得 缓慢 ， 甚 至 失去 响应 ;内 存 太 大 ， 导 致 资源 浪费 。Linux 系统 采用 了 物理 内 存 
和 虚拟 内 存 两 种 方式 ， 虚 拟 内 存 虽 然 可 以 缓解 物理 内 存 的 不 足 ， 但 是 ， 占 用 过 多 的 虚拟 内 
存 ， 应 用 程序 的 性 能 将 明显 下 降 ， 要 保证 应 用 程序 的 高 性 能 运行 ， 物 理 内 存 一 定 要 足够 
大 ; 但 是 ， 过 大 的 物理 内 存 ， 会 造成 内 存 资源 浪费 。 

可 能 出 现 内 存 性 能 瓶颈 的 应 用 有 打印 服务 器 、 数 据 库 服务 器 、 静 态 Web 服务 器 等 ， 对 
于 这 类 应 用 ， 要 把 内 存 大 小 放 在 主要 位 置 。 


3. 磁盘 I/O 性 能 


磁盘 的 IO 性 能 直接 影响 应 用 程序 的 性 能 ， 在 一 个 有 频繁 读 写 的 应 用 中 ， 如 果 磁 盘 IO 
性 能 得 不 到 满足 ， 就 会 导致 应 用 停滞 。 

好 在 现今 的 磁盘 都 采用 了 很 多 方法 来 提高 IO 性 能 ， 比 如 常见 的 磁盘 独立 磁盘 元 余 阵 
列 (Redundant Array of Independent Disk，RAID) 技 术 。 

RAID， 简 称 磁盘 阵列 ， 通 过 将 多 块 独立 的 磁盘 (物理 硬盘 ) 按 不 同方 式 组 合 起 来 ， 形 成 
一 个 磁盘 组 (逻辑 硬盘 )， 从 而 提供 比 单个 硬盘 更 高 的 IO 性 能 和 数据 元 余 。 

通过 RAID 技术 组 成 的 磁盘 组 ，IO 性 能 比 单个 硬盘 要 高 很 多 ， 同 时 ， 在 数据 的 安全 
性 上 也 有 很 大 的 提升 。 


4. 网 络 带 宽 


Linux 下 的 各 种 应 用 ， 一 般 都 是 基于 网 络 的 ， 因 此 ， 网 络 带宽 也 是 影响 性 能 的 一 个 重 
要 因素 。 低 速 的 、 不 稳定 的 网 络 将 导致 网 络 应 用 程序 的 访问 阻塞 ， 而 稳定 、 高 速 的 网 络 带 
宽 ， 可 以 保证 应 用 程序 在 网 络 上 畅通 无 阻 地 运行 。 


3.2.2 ”查看 服务 器 运行 情况 


服务 器 每 天 7x24 小 时 不 间断 的 运行 ， 但 是 管理 员 还 得 吃饭 睡觉 ， 不 可 能 一 直 在 服务 
器 边 监控 系统 的 运行 。 如 果 下 班 后 出 了 问题 怎么 办 ? 

通常 ， 管 理 员 会 设置 报警 机 制 ， 当 系统 出 现 某 些 敏感 问题 时 ， 可 以 立刻 发 送 报警 信 
息 ， 以 便 即 时 处 理 。 第 二 天 上 班 后 ， 只 要 没有 收 到 报警 信息 ， 管 理 员 就 能 确定 ， 那 些 敏感 
的 问题 没有 发 生 。 但 是 ， 这 并 不 意味 着 在 此 期 间 ， 服 务 器 就 平安 无 事 。 

服务 器 可 能 出 现 工作 异常 ， 也 可 能 发 生 了 网 络 攻 击 ， 网 络 可 能 出 现 了 过 载 ， 部 分 应 用 
可 能 出 现 了 功能 异常 。 只 是 没有 触发 管理 员 设 置 的 报警 条 件 而 已 。 所 以 ， 每 天 管理 员 上 班 
后 ， 第 一 件 事 就 是 检查 服务 器 的 工作 状况 ， 包 括 当前 的 ， 及 先前 人 不 在 时 的 情况 。 


1. 查看 CPU 的 负载 情况 


计算 机 的 核心 部 件 就 是 CPU， 它 的 作用 就 是 执行 程序 指令 。 所 有 的 一 切 操作 ， 无 论 是 
服务 器 本 身 ， 或 还 是 用 户 跟 服务 器 的 交互 ， 归 根 到 底 ， 都 要 CPU 来 处 理 完 成 。 通 常 ， 应 
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功能 越 强大 ， 对 CPU 的 要 求 就 越 高 ;访问 的 用 户 数 越 多 ，CPU 就 越 繁忙 。 当 CPU 负荷 
不 了 服务 和 用 户 时 ， 就 会 出 现 各 种 问题 ， 严 重 时 ， 其 至 会 出 现 错误 、 死 机 等 情况 。 

因此 ， 要 保证 服务 器 稳定 运行 ， 就 必须 对 CPU 的 运行 状况 时 刻 进行 关注 。 要 查看 
CP 可 以 使 用 uptime 或 者 w 命令 。 结 果 中 的 load average 后 面 的 三 个 数 

字 显 示 了 系统 最 近 1 分 钟 、5 分 钟 、15 分 钟 的 系统 平均 负载 情况 。 

uptime 和 w 命令 都 可 以 查看 CPU 的 使 用 情况 ， 与 uptime 相 比 ，w 命令 还 可 以 查询 当 
前 登录 系统 的 用 户 信息 ， 以 及 这 些 用 户 目前 正在 做 什么 操作 。 

如 图 3-1 所 示 ， 执 行 w 命令 的 当前 时 间 是 上 午 7 时 52 分 48 秒 ， 服 务 器 已 经 运行 0 分 
钟 (min)， 当 前 有 1 个 user( 用 户 ) 登 录 ，CPU 的 最 近 负 载 情 况 (1 分 钟 /5 分 钟 /15 分 钟 )。 
USER( 用 户 ) 名 为 root 的 用 户 在 名 为 ttyl 的 TTY( 终 端 ) 上 登录 ; 登录 时 间 是 上 午 7 时 52 
分 ， FROM( 从 哪里 登录 ) 为 空 ， 说 明 是 本 地 登录 ; 到 目前 为 止 ，IDLE( 空 闲 时 间 ) 的 时 间 为 
0.00s， 这 意味 着 用 户 正在 操作 ;JCPU 指 的 是 与 该 tty 终端 连接 的 所 有 进程 占用 的 时 间 ; 
PCPU 指 的 是 当前 进程 所 占用 的 时 间 ; WHAT 对 应 的 w 就 是 当前 正在 执行 的 命令 进程 。 
































Dot@l iuxuegong 
2:48 up 8 min er, load average: 8.68, 8.14, 8.85 
TY 


LOGINB IDLE JCPU PCPU WHAT 
87:52 8.88s 8.83s 8.88s w 


erage: 8.28, 8.12, 8.85 





3-1 查看 CPU 负载 


uptime 命令 则 只 显示 服务 器 当前 的 运行 信息 。 格 式 与 w 命令 类 似 。 

CPU 负载 情况 查看 的 是 load average 这 个 输出 值 ， 这 三 个 值 的 大 小 一 般 不 能 大 于 系统 
逻辑 CPU 的 个 数 ， 例 如 ， 系 统 有 两 个 逻辑 CPU， 如 果 load average 的 三 个 值 长 期 大 于 2， 
说 明 CPU 负载 可 能 过 大 ;， 如果 load average 的 输出 值 小 于 CPU 的 个 数 ， 则 表示 CPU 还 有 
空间。 从 图 3-1 中 可 以 看 出 ， 当 前 ，CPU 是 比较 空闲 的 。 

从 经 验 上 看 ， 服 务 器 的 CPU 使 用 率 在 低 于 80% 时 ， 是 健康 的 ， 超 过 了 就 要 多 关注 和 
分 析 原 因 。 偶 尔 CPU 负载 过 高 不 用 特别 紧张 ， 但 长 时 间 处 于 高 负荷 就 一 定 要 提高 警惕 。 

例如 ， 使 用 w 和 uptime 查看 CPU 的 使 用 情况 : 


#w 
#uptime 





2. 查看 内 存 的 负载 情况 

free 命令 可 以 查看 当前 内 存 使 用 情况 ，total 表示 总 内 存 大 小 ，used 表示 已 用 内 存 大 
小 ; free 表示 空闲 内 存 大 小 ; shared 表示 进程 共享 的 内 存 大 小 ; buff/cache 表示 缓冲 和 缓存 
使 用 的 内 存 大 小 ; available 表示 还 可 以 使 用 的 内 存 大 小 。 图 3-2 中 ， 可 以 看 到 可 用 内 存 远 
远大 于 空闲 内 存 ， 这 是 因为 buff/cache 类 型 的 内 存 是 随时 都 可 回收 的 ， 也 视 为 可 用 内 存 。 
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“]# free -h 

used 

188M 
8B 


[rootB@liuxuegong 


total 








-h 选项 能 够 以 友好 的 方式 显示 信 
“-s N”(second) 选 项 指定 间隔 时 间 ， 


和 





项 目 三 


服务 器 的 日 常 管理 和 运 维 


buff /cache 
2Z26H 


available 
Zz41M 


shared 
2 


图 3-2 使 用 free 命令 查看 内 存 的 负载 


一 段 时 间 连 续 查 看 内 存 ， 可 以 用 
用 “-cN”(counb 选 项 指定 循环 次 数 。 


昌 ;， 如 果 要 持续 
位 是 秒 ; 








例如 ， 使 用 free 命令 查看 内 存 使 月 
#free 
#free -h 


#free -h -s 1 -c 3 


vmstat(Virtual Memory Status) 是 

可 以 得 到 关于 进程 、 内 存 、 交 换 区 、 
- 般 vmstat 工具 的 使 用 是 通过 两 
数 ， 单 位 是 秒 ， 第 
次 ， 如 图 3-3 所 示 。 在 生产 环境 中 ， 
数 去 掉 即 可 ， 此 时 会 


[rootBliuxuegong 





- 直 运 行 ， 


J# vmstat 1 18 
memory 
buff 











-个 参数 是 获取 的 次 数 ， 
我 们 通 ' 
直到 我 们 按 Ctrl+C 键 后 结 





日 情况 : 


-个 查看 虚拟 内 存 使 用 状况 的 工具 ， 使 用 vmstat 命令 


输入 输出 、 系 统 及 CPU 活动 的 信息 


个 数字 参数 来 完成 的 ， 第 一 个 参数 是 :获取 的 时 间 间 隔 
例如 ，“vmstat 1 10” 表 示 每 隔 1 秒 共 显示 10 


常会 古 


常会 在 由 


I 


-个 时 间 段 里 
束 。 


- 直 监 控 ， 把 参数 获取 次 


ystem 
in 


188 8 8 
188 8 8 
188 8 8 


99 8 8 
168 8 8 
168 8 8 
99 8 8 
1688 8 8 


图 3-3 使 用 vmstat 命令 查看 内 存 的 负载 
下 面 为 各 参数 的 含义 。 
(1) procs( 进 程 )。 
Q@ r: 运行 队列 中 的 进程 数量 。 
@ b: 等 待 IO 的 进程 数量 。 
(2) Memory( 内 存 )。 
@ swpd: 使 用 虚拟 内 存 的 大 小 。 
@ free: 可 用 内 存 的 大 小 。 
图 buff: 用 作 缓 冲 的 内 存 大 小 。 
@ cache: 用 作 缓 存 的 内 存 大 小 。 
(3) Swap( 交 换 区 )。 
@ si: 每 秒 从 交换 区 写 到 内 存 的 大 小 。 
@ so: 每 秒 写 入 交换 区 的 内 存 大 小 。 








(enN. 
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(4) IO( 输 入 输出 )。 

@ bi: 每 秒 读 取 的 块 数 。 

@， bo: 每 秒 写 入 的 块 数 (b 表示 block， 块 )。 

(5) System( 系 统 )。 

in: 每 秒 中 断 数 ， 包 括 时 钟 中 断 ; cs: 每 秒 上 下 文 切换 数 。 

(6) CPU。 

@ us: 用 户 进程 执行 时 间 (user time)。 

@@ sy: 系统 进程 执行 时 间 (system time)。 

@ id: 空闲 时 间 ( 包 括 IO 等 待 时 间 )。 

@ wa: 等 待 IO 时 间 。 

3. 查看 进程 运行 情况 

应 用 程序 执行 时 被 称 为 进程 ， 根 据 进 程 当 前 所 处 的 状态 ， 可 以 分 为 5 种 。 

(1) 运行 (RQR， 正 在 运行 或 在 运行 队列 中 等 待 )。 

(2) 中 断 (S， 休 了 眼中， 受阻 ， 在 等 待 某 个 条 件 的 形成 或 接收 到 信号 )。 

(3) 不 可 中 断 (D， 收 到 信号 不 唤醒 和 不 可 运行 ， 进 程 必须 等 待 ， 直 到 有 中 断 发 生 )。 

(4) 僵 死 (C， 进 程 已 终止 ， 但 仍 没有 释放 资源 )。 

(5) 停止 T， 进 程 收 到 停止 信号 后 停止 运行 )。 

top 命令 用 来 实时 查询 系统 信息 。 如 图 3-4 所 示 ， 第 一 行 是 CPU 信息 ， 格 式 类 似 于 
uptime 命令 。 第 二 行 是 进程 信息 ， 一 共 103 个 进程 ，1 个 在 运行 ，102 个 处 于 睡眠 状态 ， 
stopped 是 停止 状态 的 进程 ，zombie 是 僵尸 进程 。 第 三 行 是 CPU 的 详细 信息 ， 提 示 类 似 于 
vmstat。 第 四 行 和 第 五 行 是 物理 内 存 和 虚拟 内 存 的 信息 。 再 下 方 是 当前 运行 进程 的 动态 信 
息 。 按 瑟 键 查看 帮助 ， 按 Q 键 退出 。 

#top 




































2897148 total, 2897148 fr 


+ C0 


8:88.26 top 
8:81 

8:88 
8:88.16 k 
8:88 .18 kwork 








图 3-4 使 用 top 命令 监控 系统 的 状态 
top 命令 字段 的 说 明 如 表 3-1 所 示 。 


表 3-1 top 命令 字段 的 说 明 








字段 名 字段 说 明 
PID | 进程 id 
USER. 进程 拥有 者 
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续 表 
字段 名 字段 说 明 
PR 进程 优先 级 
NI 负 值 表示 高 优先 级 ， 正 值 表示 低 优先 级 
VIRT 进程 使 用 的 虚拟 内 存 总 量 
RES 进程 使 用 的 、 未 被 换 出 的 物理 内 存 大 小 
SHR 共享 内 存 大 小 
上 进程 状态 ，S，sleeping， 休 眠 进程 ，Ss， 表 示 主 进程 ，“+” 表 示 在 前 台 的 进程 ; 
R, running 
%CPU, 占用 的 CPU 使 用 率 
%MEM 占用 的 记忆 体 使 用 率 
TIME 执行 的 时 间 
COMMAND | 所 执行 的 指令 
也 可 以 使 用 ps 命令 来 查看 进程 信息 ， 如 图 3-5 所 示 。 





例如 ， 显 示 所 有 (包含 其 他 使 用 者 ) 的 进程 : 


#ps -aux 


oot 


PID xCPU 


8.8 
deseria 
8.8 


3 8.8 
| 


STAT START TIME COMMAND 
7 :52 B:81 /usr/lib/systemd 


8:88 [kthreadd] 
8:88 [ksoftirqd/8] 
8:88 [migration/8] 





图 3-5 使 用 ps 命令 查看 进程 信息 


ps 命令 字段 的 说 明 如 表 3-2 所 示 。 
表 3-2 ps 命令 字段 的 说 明 





























字段 名 字段 说 明 
USER 进程 拥有 者 
PID 进程 id 
%CPU 占用 的 CPU 使 用 率 
%MEM 占用 的 记忆 体 使 用 率 
VSZ 占用 的 虚拟 内 存 大 小 
RSS 占用 的 内 存 大 小 
TTY 终端 的 次 要 装置 号 码 (minor device number of tty) 
STAT 该 行程 的 状态 
START 进程 开始 时 间 
TIME 执行 的 时 间 
COMMAND 所 执行 的 指令 


mm Linux 网 络 操 作 系 统 项 目 教程 


4. 查看 用 户 使 用 系统 的 情况 
last 命令 用 来 查看 登录 Linux 的 历史 信息 ， 如 图 3-6 所 示 ， 从 左 至 右 依次 为 账户 名 称 、 


登录 终端 、 登 录 客户 端 卫 、 登 录 日 期 及 时 长 。 如 果 有 异常 的 用 户 登录 ， 那 么 就 有 必要 仔细 
查看 和 关注 ， 很 可 能 是 非法 用 户 在 入 侵 系 统 。 

#1last 

#last|head 


liwaegong ~]# la 
ttul eb 16 still logged in 
ystem boot 3 3 el?.x 了 eb > 89:57 (6 85) 
ttuyl y [ 19:88 (E 19) 


ystem boot 3 514.e1l7.x Mon Feb 13 19:88 (82:22) 
ttul mn Feb 13 5 2 (81:42) 
n 7 nF 12 (81:43) 





5. 查看 主机 端口 开放 和 连接 情况 


端口 地 址 对 应 的 是 网 络 服务 ， 检 查 服 务 器 是 否 开放 了 新 的 端口 。 如 果 有 新 的 端口 打开 
了 ， 那 么 可 能 是 未 知 服务 在 运行 。 使 用 ss 命令 检查 端口 绑 定 的 服务 ， 如 表 3-3 所 示 。 如 果 
是 攻击 者 攻击 服务 器 后 留 下 的 后 门 ， 那 么 就 要 马上 处 理 。 
表 3-3 ss 命令 的 常用 功能 选项 说 明 














命 令 功能 说 明 

ss -| 显示 本 地 打开 的 所 有 端口 
ss -pl 显示 每 个 进程 具体 打开 的 socket 
ss -t -a 显示 所 有 tcp socket 
ss -Ui -a 显示 所 有 的 UDP socket 
ss -0 state established 显示 所 有 已 建立 的 HTTP 连接 (dport， 目 标 端 口 地 址 ; 
“(dport =:http or sport=:http )” sport， 源 端口 地 址 ) 
SS -5 列 出 当前 socket 的 详细 信息 
SS -n 显示 端口 号 而 不 是 名 称 

例如 ， 查 看 网 络 端 口 的 状态 : 

#33 8 

#ss -ln 

#ss -an 


6. 查看 网 络 流量 信息 
使 用 ip 命令 是 最 简单 的 查询 网 络 流量 信息 的 方法 。ip 命令 的 语法 是 : 


#ip [OPTIONS] OBJECT { COMMAND | help } 

















其 中 ，OBJECT 和 COMMAND 可 以 简写 到 一 个 字母 。 
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也 命令 的 语法 说 明 如 表 3-4 所 示 。 
表 3-4 ip 命令 的 语法 说 明 








ip help 查看 帮助 信息 可 简写 为 iph 
ip <OBJECT> help 查看 针对 该 OBJECT 的 帮助 可 简写 为 ipah 
例 : ip addr help 








ip addr [看 网 络 接口 地 址 可 简写 为 ipa 
络 连 接 统计 信息 


例如 ， 查 看 流量 信息 ， 如 图 3-7 所 示 。 


#ip -s link 














[rm ng ~]# ip -s link 
CK ,UP ,LOWER_UP> mtu 65536 qdisc noqueue state 
k 88:88:88:88:898:88 hb BB:B88:BB8:B88:B88:88 
Error: 0 verrun mcast 
8 8 8 
errors dropped carrier collsn: 
a 8 8 日 


MULTICAST,UP,LOWER_UP> mtu 1588 qdisc p 


9b :ac brd 下 全 :下 人 :下 :下 :全 :下 下 
dropped overrun mcast 
B B 8 
rs dropped carrier collsn 
8 8 





3-7 使 用 ip 命令 查看 流量 信息 





使 用 sysstat 性 能 监控 工具 来 监控 网 卡 流量 。 
sysstat 是 一 个 非常 方便 的 工具 ， 它 带 有 众多 的 系统 资源 监控 工具 ， 用 于 监控 系统 的 性 
能 和 使 用 情况 。 表 3-5 是 包含 在 sysstat 包 中 的 工具 。 
表 3-5 sysstat 监控 工具 





























命 令 命令 功能 说 明 
iostat 输出 CPU 的 统计 信息 和 所 有 IO 设备 的 输入 输出 (VO) 统 计 信息 
mpstat 关于 CPU 的 详细 信息 (单独 输出 或 者 分 组 输出 ) 
pidstat 关于 运行 中 的 进程 /任务 、CPU、 内 存 等 的 统计 信息 
sar 保存 并 输出 不 同系 统 资源 (CPU、 内 存 、IO、 网 络 、 内 核 等 ) 的 详细 信息 
sadc 系统 活动 数据 收集 器 ， 用 于 收集 sar 工具 的 后 端 数据 
sal 系统 收集 并 存储 sadc 数据 文件 的 二 进 制 数据 ， 与 sadc 配合 使 用 
sa2 配合 sar 工具 使 用 ， 产 生 每 日 的 摘要 报告 
sadf 用 于 以 不 同 的 数据 格式 (CVS 或 者 XML) 来 格式 化 sar 工具 的 输出 
Sysstat sysstat 工具 的 man 帮助 页 面 
nfsiostat NFS(Network File System) 的 IO 统计 信息 
cifsiostat CIFS(Common Internet File System) 的 统计 信息 
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要 使 用 sysstat 工具 外 


#yum install sysstat 


sysstat 包含 命令 和 功能 众多 ， 涵 盖 了 监控 系统 数据 的 各 个 方面 ， 可 以 选取 一 个 命令 作 
为 示例 ， 其 他 的 大 家 可 以 自行 查询 资料 进行 练习 。 

ar 命令 用 来 获得 整个 系统 性 能 的 报告 ， 通 常 系统 运行 异常 时 ， 有 助 于 定位 系统 性 能 的 
瓶颈 ， 并 且 有 助 于 找 出 这 些 性 能 问题 的 解决 方法 。 

Linux 内 核 维护 着 一 些 内 部 计数 器 ， 这 些 计数 器 包含 了 所 有 的 请 求 及 其 完成 时 间 和 IO 
块 数 等 信息 ，sar 命令 从 所 有 的 这 些 信 息 中 计算 出 请 求 的 利用 率 和 比例 ， 以 便 能 够 找 出 瓶颈 
所 在 。 

sar 命令 主要 的 用 途 是 生成 某 段 时 间 内 所 有 活动 的 报告 ， 因 此 ， 必 需 确保 sar 命令 在 适 
当 的 时 间 进 行 数据 采集 。 

例如 ， 使 用 sar 查看 网 卡 流量 信息 (-n DEV: 查看 网 卡 流量 )， 如 图 3-8 所 示 。 

#sar -n DEV 1 3 

查看 网 卡 的 流量 (间隔 1 秒 ， 共 3 次 ) 
#sar -n DEV -o net info 1 3 

把 流量 信息 写 到 文件 net info 里 
#sar -n DEV -f net info 


查看 net_info 文件 里 记录 的 网 卡 的 流量 信息 





， 首 先 需 要 安装 sysstat: 


许 























[| 
Linux 3.18.8-514.e1" 64 (liuxuegong.local) G2/16/281? x86_64 CPU) 


16 AM IFACE rxpck/s txpck rxkB, txkB, xcmp, xcmp/s rxmcst/s 
:17 AM 8.88 8.88 8.88 8.86 8.88 B.88 B.88 
7 AM 33 8.88 1.886 8.688 8.89 8.88 B.88 8.88 


7 AM IFACE rxpck/s txpck/s "~xkB/ xkB/s rxcmp/s xcmp/s rxmcst/s 
8 AM lo 8.88 8.98 8.98 8.88 8.88 B.B88 B.98 
8 AM 本 33 8.88 8.88 8.88 8.88 8.88 B.88 B.BB 


hM FACE rxpck/s 。 txpck xkB/S xkB/s rxcmp/s xcmp/s rxmcst/s 
9 mM 8.88 8.88 8.88 8.88 8.88 8.88 8.88 
9 AM Sns33 8B.88 8.88 8.88 8.88 B.88 B.B88 8.88 


rxpck/s txpck. sxkBys xkB/s rxcmp/s txcmp/s rxmcst/s 
8.88 8.88 8.88 B.88 B.88 B.BB 
8.88 3 8.88 8.83 8.88 B.88 8.88 





图 3-8 使 用 sar 命令 查看 网 卡 的 流量 





sar 命令 各 字段 功能 说 明 如 表 3-6 所 示 。 

7. 使 用 nmap 检测 网 络 

nmap 提供 了 四 项 基本 功能 (主机 发 现 、 端 口 扫描 、 服 务 与 版 本 侦 测 、OS 侦 测 ) 及 丰富 
的 脚本 库 。nmap 是 不 局 限于 仅仅 收集 信息 和 枚 举 ， 同 时 可 以 用 来 作为 一 个 漏洞 探测 器 或 
安全 扫描 器 。 








/A. 
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表 3-6 sar 命令 各 字段 功能 的 说 明 




















字段 名 功能 说 明 
IFACE LAN 接口 ， 网 络 设备 的 名 称 
IxXpck/s 每 秒 钟 接收 的 数据 包 
txpck/s 每 秒 钟 发 送 的 数据 包 
rxkB/s 每 秒 钟 接收 的 千 字 节 数 
txkB/s 每 秒 钟 发 送 的 千 字 节 数 
Ixcmp/s 每 秒 钟 接收 的 压缩 数据 包 
txcmp/s 每 秒 钟 发 送 的 压缩 数据 包 
IxXmest/s 每 秒 钟 接收 的 多 播 数 据 包 








nmap 的 使 用 语法 : 
#nmap [选项 ] 目标 
nmap 的 常用 选项 说 明 如 表 3-7 所 示 。 
表 3-7 nmap 的 常用 选项 说 明 





















选 项 功能 说 明 
-SP 判断 当前 网 络 哪些 主机 在 线 
-vw 显示 详细 的 扫描 过 程 
-SS 使 用 SYN 半 开 式 扫描 ， 这 种 扫描 方式 使 得 扫描 结果 更 加 正确 
-0 大 写 O 代表 0S， 判断 主机 操作 系统 
-T4 对 每 台 主 机 的 扫描 时 间 不 超过 5 分 钟 ， 并 且 对 每 次 探测 回应 的 等 待 时间 不 超过 1.5 秒 
-SV 探测 端口 的 服务 类 型 /具体 版 本 等 
-p 端口 号 对 某 个 端口 的 服务 版 本 进行 详细 探测 


例 1，nmap 扫描 目标 设置 : 


#nmap 192.168.125.2 
扫描 单一 的 一 个 主机 192 .168.125.2 
#nmap 192.168.125.1/24 
扫描 整个 子 网 
#nmap 192.168.125.2 192.168.125.5 
扫描 多 个 目标 
#nmap 192.168.125.1-100 
扫描 范围 内 的 目标 (IP 地 址 为 192.168.125.1-192.168.125.100 内 的 所 有 主机 ) 
#nmap -iL target.txt 
把 IP 地 址 列表 保存 为 一 个 文件 ， 扫 描 这 个 文件 内 的 所 有 主机 
#nmap -sL 192.168.125.1/24 
扫描 所 有 主机 的 列表 
#nmap 192.168.125.1/24 -exclude 192.168.125.1 
扫描 除 某 一 个 IP 外 的 所 有 子 网 主机 
#nmap 192.168.125.1/24 -exclude file xxx.txt 


(1. 


To @ ep 


扫描 除 文件 中 的 IP 外 的 子 网 主机 (xxx.txt 中 的 IP 将 会 从 被 扫描 的 主机 中 排除 ) 
#nmap -p80,21,23 192.168.125.1 
扫描 特定 主机 上 的 80, 21, 23 端口 


例 2，nmap 的 常用 扫描 选项 : 


#nmap -T4 -A targetip 
全 面 扫描 

#nmap -T4 -sn targetip 
主机 发 现 

#nmap-T4 targetip 
端口 扫描 

#nmap -T4 -sV targetip 
服务 扫描 

#nmap -T4 -0 targetip 
操作 系统 扫描 


3.2.3 ”查看 服务 器 的 日 志 信 息 


志 是 设备 对 于 每 天 发 生 的 事件 的 文件 记录 。 服 务 器 、 网 络 设备 、 安 全 设备 每 天 都 在 
产生 大 量 的 日 志 ， 这 些 日 志 记录 了 设备 的 运行 情况 、 用 户 对 设备 的 访问 操作 和 通过 设备 流 
转 的 数据 的 简要 信息 ， 根 据 这 些 日 志 能 够 监控 网 络 运行 ， 发 现 异常 事件 ， 还 可 以 总 结 设备 
运行 规律 ， 进 行 优化 设计 。 
日 志 对 于 管理 员 了 解 系统 运行 和 安全 来 说 ， 非 常 重要 。 它 记录 了 系统 发 生 的 各 种 各 样 
的 事情 ， 你 可 以 通过 它 来 检查 某 些 错误 发 生 的 信息 记录 ， 或 者 受到 攻击 时 攻击 者 留 下 的 痕 
迹 。 日 志 主要 的 功能 有 : 审计 和 监测 。 可 以 实时 监测 系统 状态 ， 监 测 和 追踪 侵入 者 等 。 
每 个 企业 部 门 基本 都 会 安装 网 站 等 服务 ， 要 养 成 习惯 ， 每 天 查看 网 站 等 应 用 的 日 志 ， 
了 解 网 站 的 运行 情况 。 
每 天 最 少 检查 一 次 安全 日 志 ， 重 点 关注 内 容 包 括 ID 事件 、 更 改 审计 策略 事件 等 。 
如 果 发 现 连续 的 登录 失败 ， 可 能 攻击 者 试图 使 用 未 知 用 户 名 或 带 有 错误 密码 的 已 知 用 
户 名 进行 登录 。 如 果 发 生 登 录 账号 在 登录 尝试 时 被 锁定 。 此 事件 表明 有 人 发 动 密码 攻击 但 
未 成 功 ， 因 而 导致 账户 锁定 。 频 繁 的 用 户 创建 、 删 除 等 操作 ， 可 能 是 攻击 者 试图 通过 禁用 
或 删除 发 动 攻击 时 使 用 的 账户 来 掩盖 他 们 的 踪迹 。 如 果 更 改 了 审计 策略 ， 此 事件 可 能 表明 
一 个 攻击 者 企图 通过 修改 审计 策略 来 掩盖 他 们 的 踪迹 。 

systemd-jourmald 是 一 个 收集 并 存储 各 类 日 志 数 据 的 系统 服务 。 它 创建 并 维护 一 个 带 有 
索引 的 、 结 构 化 的 日 志 数据 库 ， 并 可 以 收集 来 自 各 种 不 同 渠 道 的 日 志 ， 例 如 内 核 日 志 、 
系统 日 志 、 审 计 记 录 等 。 

查看 journald 记录 的 日 志 信息 的 语法 为 : 


#journalctl [OPTIONS] [MATCHES] 


journalctl 命令 的 选项 说 明 如 表 3-8 所 示 。 
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表 3-8 journalctl 命令 的 选项 说 明 








选 项 功能 说 明 
-a, --all 完整 显示 所 有 字段 内 容 
-£ --follow 只 显示 最 新 的 日 志 项 ， 并 且 不 断 显示 新 生成 的 日 志 项 
k, dmesg 仅 显 示 内 核 日 志 
--System 仅 显 示 系 统 服务 与 内 核 的 日 志 





仅 显示 属于 特定 单元 的 日 志 。 也 就 是 单元 名 称 正好 等 于 UNIT 或 者 
符合 PATTERN 模式 的 单元 
显示 简短 的 帮助 信息 并 退出 


-u, --unit=UNITIPATTERN 





-h, --help 


“-a” 功 能 选项 显示 所 有 字段 内 容 ， 使 用 “-a” 时 ， 显 示 的 内 容 更 丰富 ，“-f” 功 能 
项 会 不 断 显 示 最 新 生成 的 日 志 内 容 ， 当 你 调试 或 者 更 改 服务 配置 时 ， 可 以 即时 查看 生成 的 
最 新 消息 ，“-k” 功 能 选项 可 以 查看 内 核 日 志 ， 内 核 是 操作 系统 的 核心 部 分 ， 如 果 系 统 内 
核 启动 时 出 现 问题 ， 会 造成 很 大 影响 ，“--system” 不 仅 显 示 内 核 日 志 ， 还 会 显示 系统 服 
务 日 志 信息 ， 内 容 更 多 、 更 完备 ，“-u” 功 能 选项 可 以 查看 指定 unit( 单 元 ) 的 信息 ， 如 果 要 
查看 某 个 服务 的 信息 ， 用 它 再 合适 不 过 了 ; 如 果 前 面 的 功能 选项 不 能 满足 需要 ， 可 以 进 一 
步 查 看 命令 帮助 信息 ， 使 用 “-h” 或 者 “--help”。 

例如 ， 使 用 journalctl 命令 查看 日 志 信 息 

#journalctl 

不 带 任何 选项 与 参数 ， 表 示 显 示 全 部 日 志 

#journalctl SYSTEMD UNIT=avahi-daemon.service 

指定 一 个 匹配 条 件 ， 显 示 所 有 符合 该 匹配 条 件 的 日 志 

#]journalct1 /usr/bin/dbus-daemon 

显示 所 有 D-Bus 进程 产生 的 日 志 

#3ournalctl Kb 一 了 

显示 上 一 次 启动 所 产生 的 所 有 内 核 日 志 


#journalctl -f -u apache 


持续 显示 apache .service 服务 不 断 生 成 的 日 志 





3.3 ”使 用 定时 任务 功能 来 完成 日 常 工 作 
3.3.1 定时 任务 介绍 


在 上 班 的 时 候 ， 我 们 可 以 亲手 完成 工作 任务 。 但 是 ， 有 些 任 务 会 有 些 麻烦 。 比 如 数据 
备份 ， 如 果 上 班 时 间 进 行 备份 ， 会 占用 服务 器 的 资源 ， 导 致 应 用 性 能 下 降 或 者 增加 出 错 几 
率 ; 对 服务 器 运行 状况 的 周期 性 采集 ， 会 覆盖 更 长 的 时 间 ， 而 且 会 很 繁琐 。 

通常 ， 对 服务 器 数据 的 备份 ， 会 安排 在 凌晨 4 点 前 后 ， 此 时 ， 用 户 基本 都 处 于 睡眠 
中 ， 对 应 用 服务 器 的 压力 很 小 。 另 外 ， 根 据 数据 量 的 多 少 ， 备 份 时 间 可 能 从 几 分 钟 到 几 小 
时 不 等 ， 要 根据 时 间 做 好 安排 。 应 该 没有 人 会 喜欢 熟睡 时 被 闹钟 叫 醒 ， 然 后 备份 完 继续 睡 
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觉 的 感觉 吧 ? 周期 性 的 采集 任务 也 是 挑战 ， 每 隔 10 分 钟 ， 手 动 采集 一 次 的 话 ， 这 一 天 ， 
估计 就 什么 别 的 任务 都 做 不 了 了 。 

事实 上 ， 对 于 像 这 样 下 班 时 间 要 完成 的 任务 和 日 常 性 周期 性 的 任务 ， 有 一 个 服务 可 以 
完美 地 满足 需求 ， 那 就 是 定时 任务 服务 (cron 服务 )。 简 单 地 说 ， 就 是 事先 设 定好 在 什么 时 
间 ， 做 什么 事情 。 这 样 ， 时 间 到 了 后 ， 设 定 的 任务 就 会 自动 运行 ， 不 再 需要 管理 员 手 动 完 
成 了 。 

cron 是 一 个 常 驻 服务 ， 它 提供 定时 器 的 功能 ， 让 用 户 在 特定 的 时 间 可 以 执行 预 设 的 指 
令 或 程序 。 只 要 用 户 会 编辑 定时 器 的 配置 文件 ， 就 可 以 使 用 定时 器 的 功能 。 

如 果 cron 服务 还 没有 安装 ， 需 要 先进 行 安装 : 

#yum install cronie 

#yum install crontabs 


其 中 ，cronie 软件 包 是 cron 的 主 程序 ，crontabs 软件 包 是 用 来 安装 、 外 装 或 列举 用 来 
驱动 cron 守护 进程 的 任务 的 程序 。 
crontab 命令 用 来 设置 定时 任务 ， 每 一 项 任务 ， 需 要 指定 什么 时 间 、 谁 、 做 什么 。 
crontab 命令 的 功能 选项 说 明 如 表 3-9 所 示 。 
表 3-9 crontab 命令 的 功能 选项 说 明 





























功能 说 明 
编辑 该 用 户 的 定时 器 设置 
列 出 该 用 户 的 定时 器 设置 
删除 该 用 户 的 定时 器 设置 
指定 要 设 定 定时 器 的 用 户 名 称 





-u< 用 户 名 称 > 


3.3.2 创建 定时 任务 


1. 使 用 crontab -e 命令 编辑 定时 任务 
执行 命令 crontab -e， 然 后 可 编辑 文件 设置 定时 任务 ， 可 以 通过 标准 格式 进行 输入 设 
置 。 每 个 任务 的 基本 格式 如 表 3-10 所 示 。 
表 3-10 任务 的 基本 格式 


要 时 村 村 二 归 时 可 
分 时 周 命令 

第 1 列表 示 分 钟 0~59， 每 分 钟 用 * 或 者 */1 表示 。 

第 2 列表 示 小 时 0~23(0 表示 0 点 )。 

第 3 列表 示 日 期 1~31。 

第 4 列表 示 月 份 1~12。 
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第 5 列表 示 星 期 0~6(0 表示 星期 天 )。 
第 6 列 是 要 运行 的 命令 。 
例如 ， 使 用 “crontab -e” 编 辑 计 划 任 务 : 


0* 万 万 date >> /root/mydatetest 
每 小 时 执行 一 次 任务 ， 输 出 日 期 到 /root/mydatetest 文件 中 
* 大 坟 ** date >> /root/mydatetest 


每 分 钟 执行 一 次 任务 ， 输 出 日 期 到 /root/mydatetest 文件 中 


执行 命令 “crontab -1” 可 以 显示 当前 定时 任务 ， 如 果 想 要 清除 设 定 的 定时 任务 ， 可 以 
执行 “crontab -r” 进 行 清除 : 


#crontab -1 
#crontab -r 


2.，crontab 的 时 间 设 置 


crontab 计划 任务 的 设置 非常 灵活 ， 在 设置 时 间 时 ， 除 了 使 用 数字 ， 还 可 以 使 用 几 个 特 
殊 的 符号 ， 就是“*”、“/” 和 “-”、“,”。 

“*” 代 表 所 有 的 取 值 范围 内 的 数字 ，“/” 代 表 “ 每 ”的 意思 ，“%/5” 表 示 每 5 个 音 
位 ，“-” 代 表 从 某 个 数字 到 某 个 数字 ，“,” 分 开 几 个 离散 的 数值 。 

下 面 是 一 些 实际 的 例子 : 


30 21 * * * apache restart 
每 晚 的 21:30 重启 Apache 
45 4 1,10,22 * * apache restart 
每 月 1、10、22 日 的 4:45 重启 Apache 
10 1 * * 6,0 apache restart 
每 周 六 、 周 日 (0) 的 1:10 重启 Apache 
0,30 18-23 * * * apache restart 
每 天 18:00 至 23:00 之 间 每 隔 30 分 钟 重启 Apache 
0 23 * * 6 apache restart 
每 星期 六 的 11 :00pm 重启 Apache 
2 1 apache reostart 
晚上 11 点 到 早上 7 点 之 间 ， 每 隔 一 小 时 重启 Apache 
* RL Bachea restart 
每 一 小 时 重启 Apache 
0 11 4 * mon-wed apache restart 
每 月 的 4 号 与 每 周一 到 周三 的 11 点 重启 Apache 
0 4 1 jan * apache restart 
1 月 1 号 的 4 点 重启 Apache 
#*V30 * = 二 二 /sr/sbin/ntpdate 210.72.145.44 
每 半 小 时 同步 一 下 时 间 





3. 其 他 定时 任务 调度 


cron 默认 配置 了 调度 任务 ， 分 别 为 hourly、daily、weekly、monthly， 默 认 配 置 文件 为 
/etc/anacrontab。 要 定期 执行 某 些 脚本 ， 将 需要 执行 的 脚本 放 到 相应 的 目录 下 即 可 ， 目 录 分 
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别 为 /etc/cron.hourly、/etc/cron.daily、/etc/cron.weekly、/etc/cron.monthly。 对 于 一 次 性 运行 
的 任务 ， 可 以 使 用 at 命令 来 完成 。 


3.3.3 ”编写 Shell 任务 脚本 并 定时 运行 


有 时 要 执行 的 计划 任务 很 复杂 ， 此 时 可 以 编写 Shell 脚本 ， 把 要 完成 的 复杂 任务 编写 





在 脚本 里 。 脚 本 文件 可 以 添加 .sh 后 缀 名 ， 这 样 可 以 一 目 了 然 。 当 然 ， 添 加 .sh 后 级 本 身 并 
不 说 明 任何 问题 ， 也 不 意味 着 这 样 的 文件 可 以 执行 。 


.Ta 





要 让 脚本 文件 执行 ， 需 要 赋予 它 执行 权限 。 
例 1， 使 用 定时 脚本 任务 来 执行 复杂 任务 : 


#vi taskl.sh 
建立 taskl . sh 脚本 文件 
#chmod 744 taskl.sh 
设置 文件 权限 为 744， 这 样 文件 权限 为 rwxr--r--， 文 件 属 主 具有 执行 权限 就 可 以 执行 了 
#crontab -e 
Oa rw /root/taskl:sh 
执行 “crontab -e” 进 行 设置 ， 在 指定 的 时 刻 凌晨 4 点 0 分 执行 指定 的 脚本 task1 .sh 


例 2， 每 过 十 分 钟 查看 服务 器 利用 率 : 


#vi serveruse.sh 
#cat serveruse.sh 





#!/bin/bash 

date; 

echo "uptime:" 

uptime 

echo "Currently connected:" 


echo "Last logins:" 
last -a |head -3 


echo "Utilization and most expensive processes:" 
top -b |head -3 

echo 

top -b |head -10 |tail -4 


echo "Open TCP ports:" 
map =p= =T4 127:050=1 


echo. "==================== 
echo "Current connections:" 
车 各 下 三 驴 

[2 1 od | 


echo "processes:" 
ps auxf --width=200 
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echo "vmstat:" 
Vmstat 1 5 


#chmod 755 serveruse.sh 
#crontab -e 
*/10 * =*# * * /Foot/serveruse.sh>>/Ioot/serveruse-1og 


每 十 分 钟 执行 命令 serveruse.sh， 把 输出 结果 存储 到 serveruse.log。 


3.4 ”服务 器 的 故障 管理 
3.4.1 故障 必然 发 生 


对 网 络 系统 进行 管理 ， 时 不 时 会 发 生 各 种 类 型 的 网 络 故障 。 对 网 络 故障 的 应 对 ， 也 不 
外 乎 事前 检测 和 预警 、 现 场 快速 恢复 和 事后 总 结 防范 等 。 

故障 是 必然 会 发 生 的 ， 所 以 ， 遇 到 故障 时 不 必 惊慌 ， 要 静 下 心 来， 仔细 分 析 ， 确 认 故 
障 类 型 和 故障 部 位 ， 制 订 修 复 计划 ， 然 后 讨论 实施 ， 还 要 记录 好 故障 日 志 。 切 忌 遇 事 慌 
乱 、 盲 目 猜测 、 无 计划 、 不 记录 日 志 的 检测 和 修复 行为 。 有 些 时 候 ， 这 样 的 行为 可 能 造成 
更 大 的 破坏 。 

常见 网 络 故障 包括 主机 故障 、 网 络 设备 故障 、 通 信 线 路 故障 、 软 件 系 统 故障 、 网 络 拥 
塞 与 拒绝 服务 等 。 

例如 ， 用 户 遇 到 网 站 无 法 正常 访问 的 故障 ， 分 析 故 障 的 起 因 如 下 。 

(1) 可 能 来 自主 机 故障 ， 如 计算 机 网 卡 工作 异常 或 损坏 ， 使 得 信息 无 法 正常 收发 。 

(2) 可 能 来 自 网 络 设备 故障 ， 例 如 本 地 网 关 设备 工作 异常 ， 使 得 网 络 内 部 与 外 界 的 网 
络 通信 中 断 。 

(3) 可 能 来 自 通信 线路 故障 ， 例 如 线 绕 接触 不 良 ， 导 致 丢 包 或 者 大 量 的 传输 错误 ， 使 
得 通信 无 法 正常 进行 。 

(4) 可 能 来 自 软件 系统 的 故障 ， 例 如 浏览 器 软件 被 非法 修改 导致 功能 异常 ， 使 得 浏览 
出 现 问题 。 

(5) 可 能 来 自 网 络 拥塞 和 拒绝 服务 等 意外 情况 ， 此 时 ， 你 的 本 地 网 络 没有 任何 问题 ， 
但 是 ， 到 达 目 标 网 址 的 通信 路 径 上 的 某 个 转发 设备 繁忙 或 者 就 是 目标 网 站 服务 器 自身 出 现 
了 问题 ， 使 得 用 户 的 Web 请 求 无 法 及 时 得 到 响应 。 

(6) 可 能 的 种 种 原因 ， 增 加 了 故障 排除 的 难度 。 因 此 ， 分 析 故 障 起 因 时 ， 要 充分 考虑 
系统 性 因素 ， 全 面 考虑 各 种 可 能 ， 才 可 以 尽快 地 发 现 问题 和 制订 解决 方案 。 


3.4.2 ”网 络 故障 的 检测 与 处 理 


避 | 








无 论 管理 者 做 了 多 少 努 力 ， 故 障 的 发 生 几率 也 不 会 是 0。 在 问题 发 生前 ， 可 以 做 多 方 
面 的 努力 ， 力 求 降低 故障 的 发 生 几 率 。“ 善 战 者 无 赫赫 之 功 ” 用 在 此 处 ， 便 是 再 合适 不 
过 了 。 
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当 网 络 刚刚 组 建 时 ， 设 备 本 身 的 物理 故障 很 少 发 生 ， 软 件 产生 的 问题 比较 突出 ， 当 系 


统 运行 一 年 以 后 ， 各 种 小 故障 就 开始 出 现 ， 运 行 几 年 的 系统 ， 各 类 故障 会 频 发 ， 这 是 电子 
设备 固有 的 问题 ， 除 非 升 级 系统 、 更 换 部 件 ， 不 然 无 可 避免 。 
因此 ， 故 障 未 发 生前 的 日 常 检测 、 发 生 后 对 网 络 故障 进行 信息 收集 和 排查 时 ， 对 老 设 
备 和 出 过 问题 的 设备 要 给 予 更 多 关注 ， 因 为 它 出 问题 的 几率 更 大 。 

一 旦 故障 发 生 ， 处 理 流程 和 思路 一 般 如 下 。 

首先 要 对 故障 进行 分 离 和 检测 ， 确 认 故 障 发 生 的 部 位 、 现 象 、 影 响 范围 、 可 能 的 后 果 
等 ， 并 记录 下 相关 信息 。 

针对 收集 的 故障 信息 进行 分 析 ， 对 可 能 的 故障 起 因 进行 列举 ， 然 后 逐一 检测 ， 记 录 检 
测 结 果 。 

分 析 故 障 的 产生 原因 ， 并 制订 对 应 的 处 理 方案 ， 讨 论 通过 后 确认 实施 。 

实施 方案 ， 并 进行 故障 测试 与 分 析 ， 验 证 故障 是 否 已 经 解除 ， 影 响 范围 是 否 全 部 恢复 

















正常 。 
故障 排除 后 ， 记 录 完 整 故障 排查 日 志 ， 并 进行 总 结 。 
记录 日 志 就 像 医 院 记录 病 人 的 病例 一 样 ， 可 以 进行 经 验 总 结 、 反 思 和 提高 ; 也 可 以 在 
下 一 次 故障 到 来 时 ， 更 好 地 辅助 诊断 故障 。 虽 然 看 起 来 ， 会 增加 部 分 工作 量 ， 但 是 ， 从 总 
体 工 作 流 程 上 看 ， 可 以 有 效 地 增加 系统 的 工作 效率 。 

例如 : 查找 和 排除 故障 的 范例 。 

员工 小 王 早 上 9 点 提交 故障 检修 请 求 ， 称 无 法 访问 企业 网 站 ， 要 求 管理 员 给 予 处 理 。 
接 到 申请 后 ， 管 理 员 开 始 启动 故障 处 理 流程 。 

(1) 首先 对 故障 进行 分 离 和 检测 ， 确 认 故障 发 生 的 部 位 、 现 象 、 影 响 范围 、 可 能 的 后 
果 等 ， 并 记录 下 相关 的 信息 。 

收集 故障 的 有 关 信息 如 下 。 

@ 小 王 的 计算 机 无 法 访问 企业 网 站 。 

@ 小 王 同事 小 李 的 计算 机 可 以 正常 访问 企业 网 站 。 

@ ”小 王 的 计算 机 与 同事 小 李 的 计算 机 不 在 同一 个 网 段 (VLAN)。 

@ 在 同一 网 段 的 其 他 计算 机 都 无 法 正常 访问 。 

从 故障 信息 中 可 以 分 析 得 知 ， 此 故障 范围 在 小 王 所 属 的 网 段 ， 故 障 现象 是 无 法 访问 企 
业 Web 服务 器 。 

(2) 针对 收集 的 故障 信息 进行 分 析 ， 对 可 能 的 故障 起 因 进行 列举 ， 然 后 逐一 检测 ， 记 
录 检 测 的 结果 。 

可 能 造成 一 台 计 算 机 无 法 浏览 Web 服务 器 的 原因 主要 如 下 。 
该 计算 机 的 网 络 通信 协议 工作 异常 。 
该 计算 机 的 下 地址 与 掩 码 设置 出 错 。 
该 计算 机 的 网 关 设 置 出 错 。 
该 计算 机 的 DNS 设置 出 错 。 
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@ ”该 计算 机 系统 的 浏览 器 有 问题 。 

@ ”提供 域名 解析 的 DNS 服务 器 有 故障 。 

@ 企业 Web 服务 器 工作 不 正常 。 

@ 内 网 路 由 设置 中 存在 问题 。 

@ 其 他 原因 导致 该 计算 机 请 求 无 法 到 达 服 务 器 。 

分 析 故 障 起 因 时 ， 需 要 借助 管理 员 的 经 验 来 一 一 列举 ， 但 是 ， 这 样 很 可 能 存在 遗漏 和 








忽视 。 通常， 企业 应 该 建立 故障 处 理 手册 ， 规 范 常见 故障 的 处 理 流 程 。 如 果 已 经 制订 了 处 
理 手 册 ， 就 可 以 查阅 手册 进行 处 理 。 

(3) 综合 考虑 各 种 可 能 的 原因 后 ， 开 始 逐 项 检测 排查 。 

@ ”测试 该 计算 机 的 TCP/IP 协议 : 

#ping 127.0.0.1 -c 3 

127.0.0.1 是 本 机 环 回 地 址 ， 发 往 此 地 址 的 信息 会 自动 回 送 给 发 送 者 ， 通 常用 来 测试 本 
机 网 络 功能 是 否 正常 工作 。 如 果 测 试 信息 不 能 正常 返回 ， 需 要 重新 安装 网 络 协议 。 

@ ”测试 该 计算 机 的 下 地 址 与 掩 码 设置 ， 如 图 3-9 所 示 。 


#ifconfig 























[ Dr conf ig 
上 DCAST,RUNNING 





了 Or 8 8 
图 3-9 查看 本 机 IP 地址 信息 
使 用 这 onfig 或 者 ip addr 命令 可 以 查看 本 机 卫 地 址 ， 接 下 来 使 用 Ping 命令 进行 连通 
性 测试 : 
#ping 192.168.125.131 -c 3 
192.168.125.131 是 小 王 计算 机 的 瑟 地 址 ， 如 果 此 测试 信息 不 能 正常 返回 ， 说 明 此 网 络 
接口 不 能 正常 工作 ， 可 能 是 配置 错误 ， 也 可 能 是 网 卡 本 身 出 了 问题 ， 或 者 线 缆 出 了 问题 。 
需要 进一步 排查 。 如 果 正 常 返回 ， 继 续 检测 下 一 项 。 
图 测试 该 计算 机 的 网 关 设 置 ， 如 图 3-10 所 示 。 


#ip route 








[root@liwaegong ~]# ip route 
ault via 192.168.125.2 dev er 33 
168 [| 


168.125.8/24 dev ens33 proto ke 
92.168.125.8/24 dev ens33 proto ke 
ootB@1liuxuegong “~“]## 





3-10 ”查看 默认 网 关 
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ip route 命令 可 以 查看 本 机 路 由 表 ，default 开头 的 一 行 就 是 本 机 的 默认 网 关 ，via 后 面 
的 耳 地 址 就 是 设 定 的 默认 网 关 瑟 地 址 。 接 下 来 ， 使 用 ping 测试 到 网 关 的 网 络 是 否 畅通 : 
#ping 192.168.125.2 -c 3 


192.168.125.2 是 小 王 所 在 网 段 的 网 关 地 址 ， 如 果 此 测试 信息 不 能 正常 返回 ， 说 明 网 关 
地 址 不 可 用 ， 可 能 是 网 线 出 了 问题 ， 或 者 网 关 设 备 出 了 问题 。 

此 故障 中 ， 小 王 所 在 网 段 都 无 法 上 网 ， 可 见 ， 此 网 段 的 网 关 设备 很 有 可 能 出 了 问题 。 

@ 测试 该 计算 机 的 DNS 设置 。 

网 络 设置 中 的 DNS 服务 器 设 定 项 存放 在 /etc/resolv.conf 文件 中 ， 可 以 使 用 cat 命令 查 
看 此 文件 中 的 DNS 设置 ， 如 图 3-11 所 示 。 


#cat /etc/resolv.conf 





























3-11 查看 DNS 服务 器 设置 


可 以 看 到 此 时 DNS 服务 器 设置 的 瑟 地 址 是 192.168.125.2， 先 测试 一 下 到 DNS 服务 器 
的 网 络 是 否 畅通 : 
#ping 192.168.125.2 -c 3 


192.168.125.2 是 本 地 域名 服务 器 的 瑟 地 址 ， 如 果 此 测试 信息 不 能 正常 返回 ， 说 明 本 地 
域名 服务 器 不 可 用 ， 可 能 是 网 络 不 通 ， 或 者 域名 服务 器 出 错 。 如 果 能 够 正常 返回 ， 继 续 测 
试 DNS 服务 器 是 否 能 正常 实现 域名 解析 功能 : 

#host www.sohu.com 


如 果 域 名 能 够 成 功 解析 ， 则 继续 检测 其 他 内 容 ; 如 果 不 能 正常 解析 ， 则 需要 进一步 对 
DNS 服务 器 进行 测试 ， 以 确认 是 否 存在 故障 。 
@ 测试 DNS 服务 器 : 


#vi /etc/hosts 


如 果 域 名 不 能 解析 成 功 ， 可 能 是 域名 服务 器 解析 出 错 ， 导 致 不 能 正常 访问 Web 服务 
器 。 可 在 本 机 hosts 文件 中 添加 解析 记录 ， 尝 试 本 地 解析 ， 如 果 故 障 解 除 ， 就 说 明 本 机 功 
能 正常 ， 故 障 很 可 能 是 DNS 服务 器 错误 ， 接 下 来 应 该 去 检测 DNS 服务 器 状态 与 配置 。 

在 本 例 中 ， 同 事 小 李 可 以 正常 访问 ， 说 明 DNS 基本 正常 工作 ， 可 能 导致 此 问题 出 现 
的 原因 ， 可 能 是 设置 了 访问 限制 等 原因 ， 需 要 仔细 检查 和 测试 服务 配置 。 

小 王 先前 可 以 正常 访问 ， 今 天 突然 出 现 异 常 ， 如 果 是 DNS 配置 问题 ， 那 么 就 需要 查 
看 操作 日 志 ， 是 否 其 他 管理 员 更 改 了 设置 ， 再 查看 服务 器 日 志 ， 看 看 是 否 有 相关 的 非法 更 
改 信息 ;另外 ， 可 能 还 需要 进行 一 下 入 侵 检测 ， 查 看 是 否 发 生 了 网 络 入 侵 。 
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项 目 三 服务 器 的 日 常 管理 和 运 维 叙 
@” 测 试 该 计算 机 系统 的 浏览 器 。 


换 一 个 浏览 器 进行 浏览 或 者 把 当前 浏览 器 卸载 并 重新 安装 后 ， 再 次 测试 。 

如 果 故 障 消失 ， 建 议 进行 病毒 和 木马 检测 ， 因 为 通常 浏览 器 故障 是 因为 遭 到 病毒 和 木 
马 的 非法 修改 导致 的 。 

@ 测试 企业 Web 服务 器 。 

小 王 网 段 不 能 访问 Web 服务 器 ， 小 李 网 段 可 以 ， 说 明 Web 服务 器 基本 正常 ， 可 能 
Web 服务 器 配置 了 访问 限制 ， 需 要 检查 Web 服务 器 配置 ， 并 审查 日 志 ， 防 止 非法 入 侵 。 

@ 测试 内 网 路 由 设置 

#ping 目标 网 站 IP 地 址 或 者 域名 

#traceroute 目标 网 站 IP 地 址 或 者 域名 

如 果 ping 目标 网 站 不 能 正常 返回 测试 信息 ， 则 网 络 可 能 不 通 。 此 时 ， 可 以 执行 
traceroute 命令 进行 路 由 测试 ， 确 认 是 哪 一 个 路 由 设备 传输 出 错 ， 然 后 检查 此 设备 。 

此 案例 中 ， 目 标 是 企业 内 部 网 站 ， 路 由 设备 由 企业 管理 ， 管 理 员 可 以 检查 设备 配置 ， 
进行 修正 ， 如 果 目 标 是 外 界 Web 站 点 ， 那 么 问题 路 由 设备 可 能 是 公 网 的 设备 ， 我 们 无 权 查 
看 和 修改 ， 此 时 就 需要 与 对 方 客 服 沟通 协调 了 。 

@ 其 他 原因 的 检测 。 

如 果 网 络 是 畅通 的 ， 服 务 配 置 和 日 志 信息 都 是 正常 的 ， 那 么 就 要 考虑 其 他 因素 了 。 例 
如 ， 路 由 器 的 过 滤 策 略 ， 服 务 器 的 安全 权限 限制 ， 防 火 墙 的 限制 ， 流 量 控制 的 限制 等 。 

如 果 仍 然 没有 发 现 故 障 的 原因 ， 则 应 该 怀疑 病毒 、 木 马 和 黑客 入 侵 。 查 杀 病 毒 、 查 杀 
木马 、 进 行 入 侵 检测 。 

如 果 还 是 不 能 发 现 问 题 ， 可 考虑 把 相关 主机 和 服务 重新 启动 ， 或 进行 交叉 测试 等 。 

(4) 分 析 故 障 的 产生 原因 ， 并 制订 对 应 的 处 理 方案 ， 讨 论 通 过 后 确认 实施 。 

确认 故障 的 起 因 ， 接 下 来 需要 制订 对 应 的 处 理 方案 。 如 果 是 系统 错误 ， 直 接 修 正 就 可 
以 了 ; 有 时 候 ， 故 障 是 因为 其 他 系统 管理 的 需要 调整 设置 后 才 现 及 池 鱼 。 由 于 先前 不 完善 
的 方案 导致 意外 问题 的 发 生 ， 如 果 再 随手 处 理 ， 很 可 能 会 引发 更 多 的 问题 。 所 以 ， 需 要 和 仔 
细 考 虑 ， 制 订 处 理 方案 ， 并 认真 讨论 和 研究 。 确 认 无 误 后 再 进行 实施 。 

(5) 实施 方案 ， 并 进行 故障 测试 与 分 析 ， 验 证 故障 是 否 解除 ， 影 响 范围 是 否 全 部 恢复 
正常 





方案 实施 后 ， 不 仅 要 排查 故障 主机 是 否 恢复 了 正常 工作 ， 还 要 扩大 测试 范围 ， 以 防 此 
故障 解决 后 再 引发 其 他 问题 的 产生 。 

(6) 故障 排除 后 ， 记 录 完 整 故障 排查 日 志 ， 并 进行 总 结 。 

记录 日 志 不 仅 是 规范 化 工作 流程 的 考虑 ， 更 可 以 有 效 提升 工作 效率 。 适 时 总 结 加 深 ， 
不 仅 对 员工 是 一 种 升华 和 提高 ， 更 有 助 于 日 后 工作 的 开展 。 此 外 ， 还 可 以 作为 对 员工 进行 
奖惩 的 依据 。 
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任务 二 : 服务 器 的 远程 管理 


在 这 一 部 分 中 ， 我 们 要 关注 三 个 问题 : 远程 管理 管 什么 ? 为 什么 说 远程 管理 很 重要 ? 


如 何 进行 远程 管理 ? 
知识 储备 


3.5 ”远程 管理 是 什么 /为 什么 要 使 用 远程 管理 


我 们 使 用 的 个 人 计算 机 ， 就 放置 在 手边 ， 想 用 的 时 候 开机 就 能 使 用 ， 但 是 服务 器 就 不 
同 了 。 服 务 器 一 般 都 是 放置 在 专业 机 房 或 者 数据 中 心中 ， 我 们 管理 服务 器 时 ， 通 常 是 无 法 
直接 接触 到 服务 器 硬件 的 。 如 果 要 对 服务 器 进行 操作 ， 绝 大 多 数 情况 下 ， 只 能 通过 远程 管 
理 的 方式 来 对 服务 器 进行 控制 。 

远程 管理 ， 简 单 地 说 ， 就 是 通过 网 络 远程 连接 服务 器 ， 对 服务 器 进行 管理 ， 如 图 3-12 
所 示 。 为 了 实现 远程 连接 ， 在 服务 器 上 要 配置 远程 登录 服务 器 ， 提 供 相应 的 网 络 接口 和 接 
入 身份 审核 ， 在 本 地 计算 机 上 运行 专门 的 客户 端 软件 ， 连 接 服务 器 ， 进 行 身份 验证 后 ， 就 
可 以 接 入 服务 器 ， 就 像 操 作 本 地 计算 机 一 样 对 远程 服务 器 实施 管理 操作 了 。 


远程 网 管 机 互 | 郴 





远程 网 管 机 


3-12 ”远程 登录 管理 
目前 ， 常 见 的 远程 管理 控制 方式 主要 有 以 下 几 种 。 
1， 远 程 桌面 协议 (Remote Desktop Protocol，RDP) 协 议 


使 用 RDP 协议 ， 可 以 连接 远程 服务 器 ， 并 直接 操作 。 远 程 桌面 ， 简 单 地 说 ， 就 是 把 
服务 器 的 桌面 显示 在 眼前 ， 而 把 自己 的 输入 远程 输送 到 服务 器 上 ， 就 如 同 跨越 网 络 直 接 操 
作 本 地 主机 一 样 方便 。Windows 主要 采用 这 种 网 络 管理 方式 。 
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2. Telnet 


命令 行 接口 (Command Line Interface，CLD 界 面 下 的 远程 管理 工具 ， 因 为 其 历史 非常 悠 
久 ， 几 乎 所 有 的 操作 系统 都 有 该 工具 。 但 是 Telnet 在 传送 数据 时 是 通过 明文 传输 的 ， 没 有 
加 密 ， 这 样 会 造成 很 大 的 安全 隐患 ， 所 以 现在 基本 不 会 使 用 Telnet 来 进行 远程 管理 了 。 

3. 安全 命令 行 界面 (Secure Shell，SSH) 协 议 


CLI 界面 下 的 远程 管理 工具 ， 几 乎 所 有 的 操作 系统 都 有 ， 与 Telnet 相 比 ，SSH 在 进行 
数据 传送 时 会 对 数据 进行 加 密 ， 所 以 SSH 是 比较 安全 的 协议 。 几 乎 所 有 种 类 的 Unix 和 
Linux 操作 系统 都 采用 SSH 来 进行 远程 管理 。 

4. 远程 帧 缓冲 (Remote FrameBuffer，RFB) 协 议 

图 形 化 远程 管理 协议 (Virtual Network Computing，VNC) 就 是 基于 该 协议 的 ，SSH 在 
Unix 和 Linux 系统 环境 下 是 CLI 界面 常用 的 远程 管理 方式 ，VNC 则 是 类 Unix 系统 下 常 
的 图 形 化 远程 管理 工具 。 

对 于 Linux 服务 器 来 说 ， 图 形 环境 不 是 必 装 的 ， 事 实 上 ， 对 于 多 数 服 务 器 ， 并 不 会 安 
装 图 形 环境 。 另 外 ， 即 使 安装 了 图 形 环境 ，SSH 管理 仍 是 必 装 必用 的 服务 。 因 此 ， 我 们 有 
必要 熟练 掌握 SSH 的 配置 和 使 用 ， 并 对 VNC 远程 管理 有 一 定 的 了 解 。 


任务 实践 





3.6 使 用 SSH 进行 远程 管理 


SSH(Secure Shel) 协 议 是 Linux、Unix、Mac 及 其 他 网 络 设备 最 常用 的 基于 命令 行 模式 
的 远程 管理 协议 ，SSH 在 对 数据 进行 传送 过 程 中 ， 会 使 用 非 对称 的 加 密 算法 来 对 数据 进行 
加 密 ， 以 此 来 保证 远程 管理 数据 的 安全 。 

SSH2 是 目前 广泛 使 用 的 SSH 版 本 ，SSH 协议 是 TCP 协议 ， 其 占用 的 端口 号 是 22。 

绝 大 多 数 Linux 版 本 默认 使 用 的 SSH 是 openssh， 通 过 “ssh -V” 命 令 可 以 查看 SSH 
的 信息 ， 如 图 3-13 所 示 。 


#ssh -V 


Jong1 ~]# ssh -U 


uegon 
H_6.6.1p1，0penSSL 1.89.1e-fip 





图 3-13 ”查看 SSH 信息 


SSH 分 为 服务 器 端 和 客户 端 ， 对 于 服务 器 端 ，SSH 是 默认 开机 启动 的 ， 服 务 名 是 
sshd， 作 为 常 驻 服务 存在 ， 可 以 通过 “systemctl status sshd.service ”命令 来 查看 ， 如 图 3-14 
所 示 。 


#systemctl] status sshd.service 
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>: active (running) since 


3-14 ”查看 sshd 服务 信息 


sshd 服务 的 配置 文件 是 /etc/ssh/sshd_config: 

#vi /etc/ssh/sshd config 

如 果 要 修改 SSH 服务 端口 ， 找 到 “元 ort 22”， 把 “#” 号 去 掉 ， 然 后 把 22 替换 成 要 
改 的 端口 ， 再 重启 SSH 服务 即 可 。 

#systemctl restart sshd.service 

在 Linux 客户 端 计算 机 中 ， 可 以 通过 ssh 命令 登录 其 他 主机 ， 如 果 计 算 机 是 使 用 
Windows 系统 的 ， 是 没有 默认 安装 SSH 客户 端的 ， 需 要 安装 第 三 方 工具 来 进行 SSH 
远程 登录 管理 ， 例 如 putty、xshell、secureCRT 等 。 

使 用 “ssh 用 户 名 @ 主 机 名 或 P 地 址 ”命令 来 进行 登录 ，@ 之 前 是 我 们 在 远程 服务 器 
上 登录 使 目的 和 户 名 ，@ 后 面 跟 的 是 远程 服务 器 的 域名 或 他 地 址 。 

例 1， 远 程 登录 服务 器 192.168.125.200， 如 图 3-15 所 示 。 


#ssh root@192.168.125.200 


-rr a allec 
[rootB@liu>xuegong ~]# ssh rootB192 


The authenticity of host “192 .16 
ECDSA key fingerprint is 17:a7:f 
re you sure Uou want to continue conner 





图 3-15 ”SSH 远程 登录 


当 输 入 该 命令 以 后 ， 会 收 到 一 条 提示 ， 询 问 是 否 生成 一 个 密 钥 ? 密 钥 的 作用 是 对 传输 
的 信息 进行 加 密 和 解密 。SSH 使 用 的 加 密 方式 是 非 对 称 加 密 ， 在 传输 的 两 边 使 用 不 同 的 密 
钥 ， 本 机 保存 的 是 私 钥 ， 别 人 是 不 知道 的 ， 远 程 主机 上 保存 的 是 公 钥 ， 两 个 钥匙 一 对 ， 但 
是 内 容 完全 不 同 ， 而 且 互 相 是 不 能 猜测 和 破解 的 。 当 客户 端 发 送信 息 时 ， 用 私 钥 加 密 ， 送 
到 对 方 服务 器 时 ， 可 以 使 用 公 钥 来 解 开 ， 服 务 器 回 发 消息 时 ， 用 公 钥 加 密 ， 到 达 时 ， 我 们 
使 用 私 钥 解 开 。 

因为 SSH 信息 传输 是 需要 加 密 的 ， 所 以 我 们 输入 “yes”， 此 时 就 会 给 该 远程 登录 客 
户 端 生成 一 个 加 密 的 密 钥 。 接 下 来 的 信息 是 一 个 警告 信息 ， 客 户 端 计算 机 将 永久 地 把 目 
标 服务 器 192.168.125.200 加 入 已 知 : 机 列表 ， 接 下 来 输入 目 标 服务 器 上 的 用 户 密码 ， 如 
图 3-16 所 示 ， 进 行 登录 操作 ， 验 证 身份 。 











图 3-16 SSH 登录 用 户 身份 验证 
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创建 的 密 钥 信息 是 保存 在 用 户 家 目录 下 的 .ssh/ 目 录 中 ， 文件 名 是 known_hosts， 可 以 看 
一 下 里 面 的 内 容 ， 如 图 3-17 所 示 。 


#cat ~/.ssh/known hosts 























3-17 ”SSH 存放 在 客户 端的 密 钥 信息 


~ 表示 用 户 的 家 目录 ， 对 于 root 用 户 ， 家 目录 就 是 /root。 名 称 用 “.” 开 头 的 是 隐藏 文 
件 或 者 隐藏 目录 ， 如 果 要 查看 隐藏 文件 或 者 目录 ， 可 以 使 用 “ls -la” 命 令 以 长 格式 查看 所 
有 文件 。 可 以 看 到 ， 文 件 中 存放 着 加 密 后 的 密 钥 。 

#1s -la ~/.* 

使 用 哪个 用 户 名 登录 ， 就 会 在 该 用 户 家 目录 下 生成 一 个 密 钥 。 这 个 密 钥 和 远程 服务 器 
上 的 密 钥 是 一 对 ， 当 传输 信息 时 ， 双 方 可 以 使 用 此 密 钥 自动 加 密 和 解密 。 

有 时 候 ， 我 们 登录 远程 主机 只 是 为 了 执行 某 条 命令 ， 此 时 ， 可 直接 在 后 面 跟 命令 名 
即 可 在 登录 后 自动 执行 ， 然 后 退出 远程 登录 。 
例 2: 


#ssh root@192.168.125.200 1s 


这 样 ， 登 录 远 程 主机 ， 然 后 执行 完 ls 命令， 就 返回 了 ， 如 图 3-18 所 示 。 





图 3-18 在 远程 主机 上 执行 命令 


常用 的 SSH 命令 还 有 scp。scp 命令 是 用 以 在 两 台 计算 机 之 间 进 行 快速 的 、 加 密 的 数 
据 传 输 ， 命 令 的 语法 格式 为 “scp 源 文件 目标 地 址 ”。 

例 3， 我 们 要 将 当前 目录 下 的 testl.txt 文件 复制 到 192.168.125.1 这 台 主 机 的 /root 目录 
下 ， 可 以 使 用 如 下 命令 : 

#scp testl.txt root@192.168.125.1:/root/ 

这 样 ， 文 件 就 会 复制 到 192.168.125.1 这 台 主 机 的 root 目录 下 了 ， 还 可 以 为 该 命令 加 一 
些 参数 ， 例 如 “-R”， 递 归 ， 复 制 目录 的 时 候 使 用 “-p”， 传 输 时 保留 文件 权限 和 时 间 
戳 :， “-C”， 传 输 时 进行 数据 压缩 等 。 

如 果 客 户 端 计算 机 操作 系统 是 Windows 操作 系统 ， 远 程 SSH 登录 可 以 使 用 putty、 
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Xshell、secureCRT 等 工具 ， 复 制 文件 可 以 使 











winscp 工具 。 


3.7 ”使 用 VNC 进行 图 形 化 远程 管理 


VNC 跟 SSH 一 样 ， 也 分 为 客户 端 与 服务 器 端 ， 我 们 在 需要 被 远程 访问 的 服务 器 上 安 
装 VNC 的 服务 器 端 ， 在 其 他 计算 机 上 安装 VNC 


的 客户 端 程序 与 其 进行 连接 。 
3.7.1 安装 图 形 桌面 环境 

















如 果 当 前 安装 的 CentOS 7 版 本 没有 安装 桌面 环境 ， 需 要 先 安装 桌面 (比如 GNOME 或 
者 KDE)。 图 形 桌 面 需 要 安装 很 多 的 包 ， 通 常 我 们 使 用 程序 组 安装 方式 (groupinstall)。 
例 1， 查 看 可 用 程序 组 列表 。 


#yum grouplist 


使 用 yum 安装 软件 ， 可 以 使 用 install 选项 下 
装 程序 组 。 安 装 前 ， 查 看 一 下 要 安装 的 程序 组 里 者 





[ 接 安装 软件 包 ， 或 者 使 用 groupinstall 安 
包含 哪些 包 ， 如 图 3-19 所 示 。 
Yuai lable Environment Group 

Minimal Install 

Compute Node 

Infrastructure & 

File and Print 

Basic Web 


UET 
ion Host 


with GUI 
ktop 
asma Workspace 
pment and Creative Workstation 
Group 
ibility Libraries 
Console Internet Tool 





图 3-19 ”查看 可 用 程序 组 
例 2， 查 看 GNOME Desktop 程序 组 信息 ， 如 图 3-20 所 示 。 


#yum groupinfo "GNOME Desktop" | more 


: GNOME 
gnome-desktop 
highly intuitiw 


libreswan-gnome 


让 -command-not-found 
it-gtk3-module 
ktop 











由 于 程序 组 中 包含 了 很 多 软件 包 ， 所 以 可 以 使 用 “more” 进 行 分 页 显示 ， 当 安装 时 ， 
这 些 软件 包 将 一 一 安装 。 
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例 3， 使 用 程序 组 安装 方式 安装 GNOME 桌面 环境 ， 如 图 3-21 所 示 。 


#yum groupinstall "GNOME Desktop" 








Bliwaegongl ~]# yum groupinstall GNOME 
] testn 


cached hostf ile 


ESWan-gnome .x 
NetworkManager-1ib| 
64 





0 .8 (1 ibnma 


图 3-21 安装 GNOME 桌面 


使 用 groupinstall 选项 安装 GNOME 桌面 ，yum 首先 对 列表 中 的 软件 包 进 行 依赖 检 
查 ， 把 依赖 包 也 加 入 安装 列表 中 ， 然 后 依次 安装 。 在 安装 完成 之 后 重启 服务 器 ， 就 可 以 使 
用 图 形 桌 面 了 。 

安装 桌面 后 ， 可 以 把 桌面 方式 作为 默认 登录 方式 ， 也 可 以 仍然 使 用 文本 方式 进行 合 
录 ， 使 用 startx 命令 切换 到 图 形 桌 面 环境 下 。 

由 于 图 形 桌 面 会 使 用 很 多 服务 器 资源 ， 所 以 没有 必要 的 情况 下 ， 通 常 不 安装 桌面 环 
境 。 当 然 ， 如 果 有 的 服务 需要 图 形 桌 面 (例如 Oracle 数据 库 ) 的 话 ， 就 只 能 安装 了 。 就 算 安 
装 了 图 形 桌面 ，Linux 和 Windows 服务 器 也 存在 明显 的 差别 。 

Windows 服务 器 的 图 形 桌 面 是 集成 在 系统 内 核 中 的 ， 不 能 分 离 ， 这 不 仅 会 占用 服务 器 
资源 ， 而 且 会 造成 内 核 不 够 稳定 ， 这 也 是 Windows 服务 器 的 一 大 弱势 。Linux 的 图 形 环 境 
就 像 一 个 普通 的 应 用 程序 一 样 ， 可 装 可 不 装 ， 装 了 也 可 以 不 运行 。 

与 Windows 相 比 ， 在 服务 器 领域 ，Linux 占据 明显 的 优势 。 不 过 ， 单 从 服务 器 装机 数 
来 看 ， 由 于 Windows 服务 器 的 友好 性 ，Windows 服务 器 的 装机 数 比 Linux 高 很 多 ， 但 是 从 
运行 状态 的 服务 器 统计 中 ， 结 果 就 反 过 来 了 ， 安 装 Linux 操作 系统 的 服务 器 超过 Windows 
服务 器 。 


3.7.2 tigervnc 服务 器 端 配置 








CentOS 使 用 的 是 tigervnc 来 作为 自 带 的 VNC 工具 ， 默 认 这 个 工具 是 没有 被 安装 的 ， 
我 们 如 果 想 要 使 用 VNC 服务 ， 就 必须 手动 安装 : 

#yum install tigervnc-servertigervnc 

安装 完 tigervnc-server 服务 器 端 程序 以 后 ， 我 们 需要 对 其 进行 配置 ， 配 置 文件 是 


/lib/systemd/system/vncserver(@.service。 
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创建 一 个 新 的 配置 文件 ， 这 里 是 开启 1 号 窗口 ， 方 法 如 下 : 


#cd /lib/systemd/system/ 
#cpvncserver@ .servicevncserver@:1.service 




















之 后 编辑 /lib/systemd/system/vncserver(@:1.service， 设 置 用 户 liuxuegong 相关 参数 。 
vncserver 的 配置 文件 如 图 3-22 所 示 。 


EThe uncserver service unit file 








Quick HowT 
1. Copy this file to /et 
temd/system/ unc 


actual user name. Le 


usr/sbin/runuser 
PIDFile=/home/ <USER. 
3. Run “systemctl 
Run ‘systemct]1 





图 3-22 ”vncserver 的 配置 文件 


按照 文件 中 的 HowTo 说 明 操 作 ， 把 下 方 ExecStart 后 面 的 <USER> 都 蔡 换 成 要 远程 登 


录 的 用 户 名 liuxuegong。 通 常 不 会 为 root 用 户 设置 远程 登录 ， 因 为 这 可 能 会 带 来 安全 隐 


毕竟 vncserver 的 信息 传输 并 没有 像 SSH 那样 加 密 。 其 实 





即使 是 SSH 远程 登录 ， 最 


好 也 是 使 用 普通 账号 登录 ， 再 切换 到 root 账号 执行 管理 操作 。 


(1) 配置 vncserver: 


#vi /lib/systemd/system/vncserver@:1.service 








设置 普通 用 户 liuxuegong 的 远程 登录 : 


ExecStart=/sbin/runuser -1 liuxuegong -c "/usr/bin/vncserver %i" 
PIDFile=/home/liuxuegong/ .vnc/%H%i .pid 


改变 xstartup 的 权限 。 

在 CentOS 中 ，xstartup 的 文件 路 径 为 /root.vnc/， 所 以 需要 执行 : 

#chmod 777 /root/.vnc/xstartup 

否则 连接 成 功 后 ， 普 通用 户 没 有 足够 的 权限 ， 会 导致 黑屏 。 

如 果 要 设置 的 是 root 用 户 的 话 ， 设 置 内 容 略 有 不 同 ， 这 是 因为 root 的 用 户 家 目录 是 


/root， 而 不 是 在 /home 目录 下 : 


(ed. 


ExecStart=/sbin/runuser -1 root -c "/usr/bin/vncserver %i" 
PIDFile=/root/.vnc/%HSi.pid 


(2) 设置 用 户 密码 : 
#vncpasswd 用 户 名 
(3) 修改 完成 后 ， 执 行 命令 重启 服务 ， 并 把 vncserver 设置 为 开机 启动 


#systemctl] deamon-reload 
#systemctl1 enable vncserver@:1.service 
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(4) 如 果 要 关闭 1 号 远程 窗口 服务 : 


#systemctl1 stop vncserver@:1.service 


(5) 如 果 要 开启 更 多 的 接 入 窗口 ， 类 比 可 以 同样 操作 : 


#cd /lib/systemd/system/ 
#cpvncserver@ .servicevncserver@:2.service 
#vi /lib/systemd/system/vncserver@:2.service 


到 此 ，VNC 服务 器 端 就 配置 好 了 ， 接 下 来 ， 我 们 就 可 以 通过 安装 VNC 客户 端 来 远程 
登录 了 。 


3.7.3 VNC 客户 端 配置 


对 于 VNC 客户 端 程序 ， 在 Linux、Mac、Windows 等 系统 平台 上 都 有 客户 端 程序 。 
1. Linux 环境 下 的 客户 端 设置 
(1) 在 客户 端 Linux 上 安装 tigervnc: 


#yum install tigervnc 


(2) 运行 客户 端 。 

客户 端 安装 之 后 ， 在 图 形 桌 面 下 ， 选 择 “ 应 用 程序 ”一 “互联 网 ”一 “TigerVNC 
Viewer”， 如 图 3-23 所 示 ， 执 行 tigervnc 客户 端 。 

(3) 连接 远程 服务 器 。 

输入 要 连接 的 目标 服务 器 的 地 址 “192.168.125.131”， 后 面 加 上 “:1”， 表 示 连 接 服 
务 器 上 配置 的 一 号 窗口 1.service， 如 图 3-24 所 示 。 


从 应 用 程序 ~ 位 置 ~ 








他 TigerVNC Viewar 














图 3-23 执行 vnc viewer 图 3-24 ”连接 远程 服务 器 
输入 先前 配置 1 号 窗口 时 使 用 vncpasswd 为 远程 用 户 设置 的 密码 ， 如 图 3-25 所 示 ， 就 
可 以 打开 远程 桌面 ， 像 操作 本 地 计算 机 一 样 操作 远程 服务 器 了 。 
2，Windows 环境 下 的 客户 端 配置 


在 Windows 环境 下 操作 类 似 ， 下 载 VNC Viewer 后 安装 执行 ， 输 入 192.168.125.131:1 
连接 远程 服务 器 ， 如 图 3-26 所 示 。 
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六 应 用 程序 > ”位置 ~ ervNc viewer~ 


VNC authentication 





~ Ve 


VNC Server: | 192.168.125.131:1 





Encyption: LetVNC Server dhoose Y 


About Options.,. 





图 3-25 输入 密码 图 3-26 ”连接 服务 器 


此 时 会 看 到 一 个 提示 窗口 ， 提 醒 认证 信息 会 安全 传输 ， 但 是 其 他 信息 传输 未 加 密 ， 间 
击 Continue 按钮 继续 连接 ， 如 图 3-27 所 示 。 

由 于 配置 服务 器 端 时 已 经 指定 了 用 户 名 ， 所 以 此 时 只 须 输入 密码 即 可 登录 ， 如 图 3-28 
所 示 。 只 要 密码 验证 成 功 ， 即 可 打开 远程 桌面 ， 如 图 3-29 所 示 。 


堵 





Unencrypted Connection 


Connecting to: 192.168.125.131:1 
This connection wll not be encr ypted. Your authentication credentials wil be 
‘ansmitted securely, but all subsequent data exchanged whie the connection is 
In progress may be susceptible to interception by thrd parties. 
Hf VNC Server scensed to use ths premium feature, consider enablng it. If not, 
please upgrade your VNC Server license. 
VNC Server: 192.168,125, 131:1 


Va 
口 pe not warn me about ths for 192.168.125.131:1agam 一 


Continue 





图 3-27 ”加密 提示 信息 图 3-28 输入 密码 


15:37 
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3-29 ”打开 远程 桌面 
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另外 ， 由 于 vncserver 服务 的 信息 传输 并 不 加 密 ， 这 样 可 能 会 带 来 安全 问题 。 可 以 执行 
ssh 命令 建立 通道 ， 来 为 传输 进行 加 密 : 
#ssh -v -C -LI 590N: 目 标 主机 :590N 192.168.125.131 
-C 表示 压缩 数据 传输 。 
将 本 地 机 (客户 机 ) 的 某 个 端口 转发 到 远 端 指定 机 器 的 指定 端口 : 
-L port:host:hostport 


工作 原理 是 这 样 的 ， 本 地 机 器 上 分 配 了 一 个 socket 侦 听 port 端口 ， 一 旦 这 个 端口 上 有 
了 连接 ， 该 连接 就 经 过 安全 通道 转发 出 去 ， 同 时 远程 主机 和 host 的 hostport 端口 建立 连 
接 。 可 以 在 配置 文件 中 指定 端口 的 转发 。 只 有 root 才能 转发 特权 端口 。 


任务 三 : 服务 器 数据 的 备份 管理 


在 这 一 部 分 中 ， 我 们 要 关注 三 个 问题 : 备份 /还 原 是 什么 ? 为 什么 要 使 用 备份 /还 原 ? 
怎么 配置 备份 /还 原 ? 


知识 储备 








3.8 备份 的 作用 和 必要 性 


备份 是 为 防止 文件 、 数 据 丢失 或 损坏 等 可 能 出 现 的 意外 情况 ， 预 先 将 计算 机 存储 设备 
中 的 数据 复制 到 磁带 等 大 容量 存储 设备 中 。 

对 于 服务 器 来 说 ， 稳 定 可 靠 运行 是 第 一 位 的 要 求 。 虽 然 从 硬件 到 软件 ， 服 务 器 做 了 很 
多 工作 ， 从 元 余 到 热 插 拔 等 ， 但 是 ， 还 是 不 能 避免 系统 出 现 硬 件 或 者 软件 的 问题 ， 导 致 服 
务 出 现 故 障 。 从 某 种 角度 上 说 ， 出 错 是 必然 的 ， 只 是 什么 时 候 到 来 ， 所 有 的 工作 都 只 能 降 
低 出 错 的 几率 ， 但 是 它 永远 不 会 为 零 。 
因此 ， 服 务 器 还 必须 为 可 能 的 系统 失败 做 出 准备 。 一 旦 出 现 问题 ， 应 该 如 何 降低 损 
失 、 快 速 恢复 系统 ? 

系统 故障 有 很 多 种 ， 从 软件 错误 到 硬件 损坏 ， 处 理 方法 要 因地制宜 。 以 下 是 可 能 导致 
文件 、 数 据 丢 失 或 者 损坏 的 情况 : 
系统 硬件 故障 。 
软件 故障 。 
电源 故障 。 
用 户 的 误 操作 。 
人 为 破坏 。 
缓存 中 的 内 容 没有 及 时 写 入 磁盘 。 
当 种 种 努力 都 不 奏效 时 ， 最 后 的 选择 就 是 系统 重建 并 恢复 数据 ， 俗 称 “ 回 档 ”。 
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要 复原 系统 并 恢复 数据 ， 就 必须 提前 对 整个 系统 进行 完整 的 备份 ， 这 是 进行 恢复 操作 
的 前 提 ， 如 图 3-30 所 示 。 和 否则 ， 要 重建 系统 就 只 能 从 零 开始 ， 谈 不 上 恢复 了 。 


DR 
YY 








td 


3-30 备份 Backup 与 还 原 Restore 


我 们 可 以 考虑 备份 所 有 的 内 容 ， 不 过 数据 量 可 能 有 点 大 ， 为 了 发 生 故 障 时 少 损 失 一 些 
数据 ， 备 份 的 间隔 不 能 太 长 。 

就 像 我 们 听 过 的 笑话 ， 每 天 我 只 做 一 件 事 ， 这 件 事 要 做 一 天 。 

备份 一 次 数据 需要 多 长 时 间 才 能 完成 ， 这 是 个 很 实际 的 问题 。 很 显然 ， 备 份 时 间 首 先 
受 要 备份 的 数据 量 影响 ， 这 是 个 工作 量 的 问题 ， 其 次 ， 与 方法 效率 肯定 也 有 关系 。 

要 减少 备份 时 间 ， 首 先 可 以 考虑 精简 工作 量 ， 减 少 可 以 不 备份 的 部 分 ， 其 次 ， 选 择 合 
适 的 备份 方法 ， 或 者 说 备份 策略 ， 再 有 ， 就 是 工 欲 善 其 事 、 必 先 利 其 器 ， 得 在 提升 效率 上 
下 功夫 。 

哪些 内 容 需 要 备份 呢 ? 

一 般 来 说 ， 备 份 的 目标 包括 系统 平台 、 应 用 和 数据 。 操 作 系统 和 服务 器 软件 提供 基础 
运行 平台 ， 是 应 用 的 支撑 ， 不 可 缺少 ;应 用 是 提供 服务 的 具体 执行 部 件 ， 非 常 重要 ， 没 有 
它 就 没有 了 服务 ， 而 数据 是 应 用 运行 过 程 中 保存 下 来 的 历史 操作 ， 通 常 ， 整 个 应 用 的 几乎 
所 有 价值 就 集中 体现 在 数据 上 面 。 

互联 网 中 的 信息 ， 百 分 之 九 十 以 上 都 存放 在 数据 库 中 。 这 些 数 据 ， 就 是 一 切 应 用 的 核 
心 。 例如， 银行 的 客户 资料 、 存 款 的 账户 信息 等 。 服 务 器 可 以 毁坏 ， 应 用 可 以 崩溃 ， 可 是 
数据 一 旦 损坏 ， 后 果 会 是 无 法 挽回 的 。 

如 果 操 作 系统 和 应 用 平台 变化 很 小 ， 部 署 完 成 后 很 少 改变 ， 备 份 频率 就 不 需要 太 高 。 
而 业务 数据 时 时 都 在 变化 ， 需 要 经 常备 份 。 

如 果 对 系统 和 平台 较 少 进行 备份 的 话 ， 日 常 工作 量 就 大 大 减轻 ; 相 比 较 来 说 ， 对 业务 
数据 ， 要 根据 业务 特征 设 定 备 份 策略 。 

在 故障 来 临 前 ， 做 好 事前 备份 ， 就 可 以 有 效 地 减免 损失 ， 并 提高 故障 恢复 速度 。 
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3.8.1 备份 策略 


针对 不 同类 型 的 信息 ， 备 份 的 要 求 和 策略 也 会 有 很 大 差异 。 

备份 策略 指 确定 需 备 份 的 内 容 、 备 份 时 间 及 备份 方式 。 各 个 单位 会 根据 自己 的 实际 情 
况 来 制订 不 同 的 备份 策略 。 备 份 的 内 容 越 多 ， 工 作 量 也 就 越 大 ， 服 务 器 用 于 备份 的 资源 和 
时 间 就 越 多 ， 备 份 占用 的 资源 可 能 会 影响 系统 的 正常 运行 ， 备份 时 间 则 是 指 每 隔 多 久 进 行 
备份 ， 当 故障 发 生 时 ， 只 能 恢复 到 备份 时 的 数据 状态 ， 备 份 时 间 之 后 产生 的 所 有 信息 ， 将 
最 终 丢失 掉 。 因 此 ， 备 份 时 间 不 宜 太 长 ， 以 免 丢 失 数据 过 多 ; 备份 方式 是 指 怎样 进行 备 
份 。 目 前 被 采用 最 多 的 备份 方式 主要 有 三 种 ， 如 图 3-31 所 示 。 





完全 差异 增 量 
备份 备份 备份 
RR 
区 古人 | 7 人 
人 各 份 的 可 异 部 分 上 次 备份 的 朴 异 部 分 


图 3-31 三 种 备份 策略 

1. 完全 备份 (Full Backup) 

每 次 对 自己 的 系统 进行 完全 备份 。 例 如 ， 星 期 一 对 整个 系统 进行 备份 ， 星 期 二 再 对 整 
个 系统 进行 备份 ， 依 此 类 推 。 这 种 备份 策略 的 好 处 是 ， 当 发 生 数据 丢失 的 灾难 时 ， 只 要 用 
灾难 发 生前 一 天 的 备份 ， 就 可 以 恢复 所 有 丢失 的 数据 。 至 于 不 足 之 处 ， 首 先 ， 由 于 每 天 都 
对 整个 系统 进行 完全 备份 ， 造 成 备份 的 数据 大 量 重复 ， 其 次 ， 由 于 需要 备份 的 数据 量 较 
大 ， 因 此 备份 所 需 的 时 间 也 就 较 长 。 此 备份 方式 ， 适 用 于 应 用 规模 和 业务 数据 较 小 的 企 
业 ， 对 于 那些 业务 繁忙 、 备 份 时 间 有 限 的 单位 来 说 ， 选 择 这 种 备份 策略 就 不 适合 了 。 

优点 : 备份 的 数据 最 全 面 、 最 完整 。 恢 复 快 ， 当 发 生 数 据 丢 失 的 灾难 时 ， 只 要 用 一 盘 
磁带 就 可 以 恢复 全 部 的 数据 。 

缺点 : 数据 量 非常 大 ， 占 用 Linux 服务 器 数据 备份 恢复 的 磁带 设备 比较 多 ， 备 份 时 间 
比较 长 。 


2. 增 量 备份 (Incremental Backup) 

空闲 时 间 段 进行 一 次 完全 备份 ， 然 后 在 接 下 来 的 时 间 里 只 对 新 的 或 被 修改 过 的 数据 进 
行 备 份 。 这 种 备份 策略 的 优点 是 节省 了 磁带 空间 ， 缩 短 了 备份 时 间 。 但 它 的 缺点 在 于 ， 当 
灾难 发 生 时 ， 数 据 的 恢复 比较 麻烦 。 例 如 ， 系 统 在 星期 三 的 早晨 发 生 故 障 ， 丢 失 了 大 量 的 
数据 ， 那 么 现在 就 要 将 系统 恢复 到 星期 二 晚上 时 的 状态 。 这 时 ， 系 统管 理 员 就 要 首先 找 出 
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星期 天 的 完全 备份 进行 系统 恢复 ， 然 后 再 找 出 星期 一 的 增 量 备份 来 恢复 星期 一 的 数据 ， 然 
后 找 出 星期 二 的 增 量 备份 来 恢复 星期 二 的 数据 。 很 明显 ， 这 种 方式 在 备份 数据 时 效率 较 
高 ， 但 恢复 数据 时 很 麻烦 。 另 外 ， 这 种 备份 的 可 靠 性 也 很 差 。 在 这 种 备份 方式 下 ， 每 次 备 
份 的 关系 就 像 链 子 一 样 ， 一 环 套 一 环 ， 其 中 任何 一 次 备份 数据 出 了 问题 都 会 导致 整 条 链子 
断 开 。 比 如 在 上 例 中 ， 若 星期 二 的 备份 出 了 故障 ， 那 么 管理 员 最 多 只 能 将 系统 恢复 到 星期 
一 晚上 时 的 状态 。 

优点 : 备份 速度 快 ， 没 有 重复 的 备份 数据 ， 节 省 磁带 空间 ， 又 缩短 了 备份 时 间 。 

缺点 : 恢复 时 间 长 。 如 果 系 统 在 星期 四 的 早晨 发 生 故 障 ， 管 理 员 需要 找 出 从 星期 一 到 
星期 三 的 备份 磁带 进行 系统 恢复 。 各 磁带 间 的 关系 就 像 链子 一 样 ， 一 环 套 一 环 ， 其 中 任何 
一 盘 磁 带 出 了 问题 ， 都 会 导致 整 条 链子 脱节 。 

3. 差异 备份 (Differential Backup) 


管理 员 先 在 空闲 时 进行 一 次 系统 完全 备份 ， 然 后 在 接 下 来 的 备份 时 间 里 ， 管 理 员 再 将 
当时 所 有 与 初始 备份 不 同 的 数据 (新 的 或 修改 过 的 ) 备 份 。 差 异 备份 策略 在 避免 了 以 上 两 种 
策略 的 缺陷 的 同时 ， 又 具有 了 它们 的 所 有 优点 。 首 先 ， 无 须 每 天 都 对 系统 做 完全 备份 ， 因 
此 备份 所 需 时 间 短 ， 并 节省 了 磁带 空间 ， 其 次 ， 它 的 灾难 恢复 也 很 方便 。 系 统管 理 员 只 需 
两 份 数 据 ， 即 完全 备份 与 灾难 发 生前 一 天 的 备份 ， 就 可 以 将 系统 恢复 。 

各 个 企业 单位 会 根据 自己 的 实际 情况 来 制订 不 同 的 备份 策略 。 

在 实际 应 用 中 ， 备 份 策略 通常 是 以 上 三 种 的 结合 。 例 如 每 周一 至 周 六 进行 增 量 备份 或 
差异 备份 ， 每 周 日 进行 全 备份 ， 每 月 底 进 行 一 次 全 备份 ， 每 年 底 进行 一 次 全 备份 。 为 了 避 
免 备份 操作 影响 正常 业务 的 进行 ， 要 挑选 服务 器 空闲 时 段 进 行 操作 。 通 常 ， 凌 有 晨 4 点 到 6 
点 是 备份 操作 执行 的 好 时 段 。 


3.8.2 ”规划 备份 系统 





数据 的 破坏 是 难以 预测 的 ， 也 是 有 多 种 可 能 性 的 ， 因 此 要 保证 在 随时 随地 都 可 以 完成 
数据 的 完整 恢复 ， 就 必须 要 建立 完善 的 备份 系统 。 


1. 数据 备份 应 该 遵守 的 原则 


(1) 定期 实施 备份 。 

为 保证 备份 数据 的 无 误 ， 必 须 定时 定期 、 准 确 地 备份 ， 为 避免 进度 混乱 ， 应 清楚 记录 
所 有 步 又， 并且， 必须 为 实施 备份 的 所 有 人 员 提 供 此 类 信息 ， 以 免 在 发 生 问题 时 束 手 无 
策 。 此 外 ， 还 应 该 建立 一 个 计划 并 严格 遵守 ， 让 服务 器 执行 更 新 日 志 ， 当 数据 在 月 省 后 需 
要 恢复 时 ， 更 新 日 志 将 会 派 上 用 场 。 

原则 上 ， 数 据 备份 应 至 少 保留 两 份 ， 一 份 是 最 近 的 ， 一 份 是 在 它 之 前 的 ， 而 至 少 要 有 
三 个 以 上 备份 ， 才 可 以 把 早期 的 删 掉 。 

应 鉴定 需 保 护 的 系统 ， 存 储 重 要 数据 的 系统 都 需要 全 面 保护 ， 但 也 要 分 出 个 主 次 ， 最 
重要 的 数据 要 经 常备 份 。 
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(2) 使 用 一 种 统一 的 和 易 理 解 的 备份 文件 命名 机 制 。 
选择 采用 数据 名 和 日 期 构成 备份 文件 名 ， 会 为 你 实施 数据 恢复 带 来 很 大 的 方便 ， 
默认 的 备份 文件 名 本 身 没有 什么 特别 的 意义 ， 当 实施 你 的 恢复 时 ， 很 可 能 会 浪费 大 量 


因为 
的 时 





间 去 找 出 文件 里 是 什么 东西 ， 而 使 用 由 数据 名 和 日 期 所 构成 的 备份 文件 名 ， 文 件 里 备份 的 


是 什么 就 一 目 了 然 了 。 
(3) 适时 地 进行 数据 恢复 和 故障 演习 。 





如 果 企 业 发 生 灾难 ， 数 据 丢失 ， 应 确保 可 从 备份 介质 中 快速 、 完 整地 恢复 所 有 数据 ， 


要 定期 地 演习 恢复 过 程 ， 确 保 在 真正 需要 的 时 候 不 会 出 现 差错 或 意外 故障 。 
2. 备份 要 考虑 的 因素 


规划 备份 系统 需要 考虑 的 因素 较 多 ， 一 般 的 数据 库 备 份 过 程 中 需要 考虑 如 下 因素 。 

(1) 数据 本 身 的 重要 程度 。 

(2) 数据 的 更 新 和 改变 频繁 程度 。 

(3) 备份 硬件 的 配置 。 

(4) 备份 过 程 中 所 需要 的 时 间 以 及 对 服务 器 资源 占用 的 实际 需求 情况 。 

(5) 备份 方案 中 ， 要 考虑 到 对 业务 处 理 的 影响 尽 可 能 地 小 ， 要 把 需要 长 时 间 完 成 
份 过 程 放 在 业务 处 理 的 空闲 时 间 进 行 。 

(6) 对 于 重要 的 数据 ， 要 保证 在 极端 情况 下 的 损失 都 可 以 正常 恢复 。 

(7) 对 备份 硬件 的 使 用 要 合理 ， 既 不 盲目 地 浪费 备份 硬件 ， 也 不 让 备份 硬件 空闲 。 

3. 进行 备份 的 规划 

(1) 制定 备份 进度 。 

在 制定 备份 进度 时 ， 需 要 考虑 众多 因素 。 

Q@ 需要 考虑 备份 方式 ， 即 是 选择 完全 备份 还 是 其 他 备份 方式 。 

@ 要 确定 备份 频率 和 时 序 。 








的 备 


@ 要 有 备份 介质 的 保管 措施 。 备 份 介质 如 果 使 用 磁带 机 或 者 光盘 ， 一 定 要 注意 定时 
清洁 和 维护 磁带 机 或 光盘 ， 要 把 磁带 和 光盘 放 在 合适 的 地 方 ， 过 热 和 潮湿 对 磁带 和 光盘 是 
有 和 害 的 。 备 份 的 磁带 和 光盘 最 好 只 容许 管理 员 访 问 它们 ， 要 完整 、 清 晰 地 做 好 备份 磁带 和 


光盘 的 标签 ， 避 免 与 其 他 不 重要 的 混在 一 起 ， 这 样 可 以 有 效 地 保障 数据 的 安全 私密 性 。 
(2) 选择 适当 的 备份 设备 。 
根据 数据 的 规模 的 大 小 选择 备份 设备 ， 在 小 型 企业 网 站 中 ， 应 当 更 注重 价格 和 
性 ， 而 在 较 大 型 的 企业 网 站 中 ， 则 应 更 关注 性 能 和 功能 。 


易 用 


目前 流行 的 备份 设备 除了 传统 的 磁带 机 和 光盘 刻录 设备 外 ， 还 有 磁盘 阵列 、 网 络 云 备 


份 等 介质 。 
不 同 的 备份 设备 ， 成 本 、 性 能 差别 很 大 ， 要 根据 企业 需要 和 业务 需求 合理 选择 。 
(3) 挑选 完善 的 备份 软件 。 
好 的 备份 软件 应 该 具备 的 基本 功能 包括 操作 自动 化 、 安 全 可 靠 和 高 速 备份 的 能 力 。 
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Q@ 自动 化 备份 与 恢复 。 
自动 化 不 需要 人 力 去 操作 或 更 换 磁带 媒体 (使 用 自动 换 带 机 )， 可 以 降低 人 员 的 维护 成 
本 ， 而 自动 化 作业 不 需要 人 工 操 作 的 特性 ， 也 可 以 很 好 地 避免 错误 操作 的 人 为 因素 的 发 
生 ， 从 而 增加 了 备份 的 可 靠 性 。 

@ 安全 性 与 可 靠 性 。 

备份 数据 前 ， 自 动 对 文件 进行 病毒 扫描 ， 能 够 确保 所 备份 的 数据 并 未 遭受 病毒 感染 ， 
能 确保 所 备份 的 数据 的 安全 性 ， 日 后 需要 恢复 数据 的 时 候 ， 就 能 实现 数据 的 安全 性 了 。 

@ 高 速 备份 能 力 。 

可 以 在 最 短 的 时 间 内 同时 对 大 量 的 数据 进行 备份 ， 提 供 高 速 的 备份 能 力 。 

4. 根据 实际 情况 对 备份 计划 进行 调整 

系统 、 应 用 和 数据 的 备份 需求 通常 是 不 同 的 ， 而 且 ， 随 着 时 间 变 化 ， 也 可 能 发 生 改 
变 。 因 此 ， 应 该 根据 需要 ， 对 备份 策略 进行 微调 。 

服务 器 系统 投入 正式 运行 后 ， 通 常 不 会 做 大 的 改动 ， 可 以 把 对 系统 备份 的 间隔 时 间 设 
置 得 稍微 长 一 些 。 

如 果 服 务 器 发 生 了 大 的 改动 后 ， 例 如 系统 升级 、 软 件 平台 升级 等 ， 通 常 应 该 做 一 次 完 
全 备份 。 

日 常 工作 中 ， 除 了 规律 性 的 备份 外 ， 还 可 能 因为 各 种 原因 新 增 或 者 减少 备份 的 次 数 。 
例如 要 在 服务 器 上 进行 某 些 修改 、 要 给 服务 打 补 丁 程序 等 。 只 要 这 种 变动 可 能 会 对 服务 器 
运行 造成 影响 ， 就 应 该 考虑 进行 备份 ， 到 底 是 完全 备份 、 差 异 备份 还 是 增 量 备份 ， 根 据 实 
际 情况 进行 选择 即 可 。 

另外 ， 对 于 需要 备份 的 文件 和 数据 ， 要 根据 实际 情况 进行 调整 ，Linux 服务 器 数据 备 
份 恢复 处 理 的 是 文件 的 打包 和 解 包 。 

一 般 情况 下 ， 以 下 这 些 目 录 是 需要 备份 的 。 

/etc: 包含 所 有 核心 配置 文件 。 这 其 中 包括 网 络 配置 、 系 统 名 称 、 防 火 墙 规则 、 用 
户 、 组 ， 以 及 其 他 全 局 系统 项 。 

/var: 包含 系统 守护 进程 (服务 ) 所 使 用 的 信息 ， 如 DNS 配置 、DHCP 租 期 、 邮 件 缓冲 
文件 、HTTP 服务 器 文件 等 。 

/home: 包含 所 有 用 户 的 默认 用 户主 目录 。 这 包括 他 们 的 个 人 设置 、 已 下 载 的 文件 和 
用 户 不 希望 失去 的 其 他 信息 。 

/root: 是 根 (roob 用 户 的 主 目录 。 

/opt: 是 安装 许多 非 系统 文件 的 地 方 。 

有 些 目录 则 通常 是 不 备份 的 。 

/proc: 应 该 永远 不 要 备份 这 个 目录 。 它 不 是 一 个 真实 的 文件 系统 ， 而 是 运行 内 核 和 环 
境 的 虚拟 化 视图 。 它 包括 诸如 /proc/kcore 这 样 的 文件 ， 这 个 文件 是 整个 运行 内 存 的 虚拟 视 
图 。 备 份 这 些 文件 只 是 在 浪费 资源 。 

/dev: 包含 硬件 设备 的 文件 表示 。 如 果 计 划 还 原 到 一 个 空白 的 系统 ， 那 就 可 以 备份 
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/dev。 然 而 ， 如 果 计 划 还 原 到 一 个 已 安装 的 Linux 服务 器 数据 备份 恢复 系统 ， 那 么 备份 
/dev 是 没有 必要 的 。 

/tmp: 临时 文件 存放 的 目录 。 

5. 对 数据 库 的 备份 计划 

应 用 软件 由 软件 公司 开发 ， 管 理 员 一 般 有 最 新 的 安装 盘 在 手 里 ， 没 特殊 需求 或 调整 的 


如 果 应 用 规模 和 数据 量 较 小 ， 通 常会 采用 完全 备份 ， 这 样 最 为 稳妥 ， 而 对 服务 器 的 额 
外 资源 消耗 也 可 以 接受 。 但 对 于 大 型 应 用 ， 则 要 认真 考虑 备份 的 时 间 和 方式 。 

对 数据 库 数据 的 备份 有 两 种 : 第 一 种 为 物理 备份 ， 也 称 为 冷 备 份 ， 该 方法 实现 数据 库 
的 完整 恢复 ， 但 数据 库 必 须 运行 在 归档 模式 下 ， 且 需要 大 容量 的 外 部 存储 设备 。 

第 二 种 备份 方案 为 逻辑 备份 ， 业 务 数据 库 采 用 此 种 方案 ， 此 方法 不 需要 数据 库 运 行 在 
归档 模式 下 ， 不 但 备份 简单 ， 而 且 可 以 不 需要 外 部 存储 设备 。 

绝 大 多 数 的 数据 库 软件 都 是 采用 这 两 种 基本 方案 的 备份 ， 只 是 在 备份 的 策略 和 技巧 上 
各 有 侧重 ， 并 且 在 各 种 数据 库 辅助 软件 的 帮助 下 可 以 实现 定时 备份 、 异 地 备份 、 增 量 压 缩 
备份 以 及 自动 备份 ， 帮 助 企业 在 数据 管理 上 更 好 地 适应 应 用 的 需要 。 


3.8.3” 双 机 热 备份 技术 


双 机 热 备份 技术 是 一 种 软 硬 件 结合 的 较 高 容错 应 用 方案 。 该 方案 是 由 两 台 服务 器 系统 
和 一 个 外 接 共享 磁盘 阵列 柜 (也 可 没有 ， 而 是 在 各 自 的 服务 器 中 采取 RAID 卡 ) 及 相应 的 双 
机 热 备份 软件 组 成 。 

在 这 个 容错 方案 中 ， 操 作 系 统 和 应 用 程序 安装 在 两 台 服 务 器 的 本 地 系统 盘 上 ， 整 个 网 
络 系统 的 数据 是 通过 磁盘 阵列 集中 管理 和 数据 备份 的 。 数 据 集中 管理 是 通过 双 机 热 备份 系 
统 ， 将 所 有 站 点 的 数据 直接 从 中 央 存 储 设备 读 取 和 存储 ， 并 由 专业 人 员 进 行 管理 ， 极 大 地 
保护 了 数据 的 安全 性 和 保密 性 。 用 户 的 数据 存放 在 外 接 共享 磁盘 阵列 中 ， 在 一 台 服 务 器 出 
现 故 障 时 ， 备 机 主动 替代 主机 工作 ， 保 证 网 络 服务 不 间断 。 

双 机 热 备份 系统 采用 “心跳 ”方法 保证 主 系 统 与 备用 系统 的 联系 。 

所 谓 “心跳 ”， 指 的 是 主 从 系统 之 间 相 互 按照 一 定 的 时 间 间 隔 发 送 通信 信号 ， 表 明 各 
自 系 统 当前 的 运行 状态 。 一 旦 “心跳 ”信号 表明 主机 系统 发 生 故 障 ， 或 者 备用 系统 无 法 收 
到 主机 系统 的 “心跳 ”信号 ， 则 系统 的 高 可 用 性 管理 软件 将 认为 主机 系统 发 生 了 故障 ， 主 
机 停止 工作 ， 并 将 系统 资源 转移 到 备用 系统 上 ， 备 用 系统 将 替代 主机 发 挥 作 用 ， 以 保证 网 
络 服务 运行 的 不 间断 性 。 

双 机 热 备份 方案 中 ， 根 据 两 台 服 务 器 的 工作 方式 ， 可 以 有 三 种 不 同 的 工作 模式 ， 即 双 
机 热 备 模式 、 双 机 互 备 模式 和 双 机 双 工 模式 。 下 面 分 别 予 以 简单 介绍 。 

双 机 热 备 模 式 即 通常 所 说 的 active/standby 方式 ，active 服务 器 处 于 工作 状态 ; 而 
standby 服务 器 处 于 监控 准备 状态 ， 服 务 器 数据 包括 数据 库 数据 同时 往 两 台 或 多 台 服 务 器 写 
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入 (通常 各 服务 器 采用 RAID 磁盘 阵列 卡 )， 保 证 数据 的 即时 同步 。 当 active 服务 器 出 现 故 
障 的 时 候 ， 通 过 软件 诊 测 或 手工 方式 将 standby 机 器 激活 ， 保 证 应 用 在 短 时 间 内 完全 恢复 
正常 使 用 。 典 型 应 用 为 证 券 资 金 服 务 器 或 行情 服务 器 。 这 是 采用 较 多 的 一 种 模式 ， 但 由 于 
另外 一 台 服 务 器 长 期 处 于 后 备 状态 ， 从 计算 资源 方面 考量 ， 就 存在 一 定 的 浪费 。 

双 机 互 备 模式 ， 是 两 个 相对 独立 的 应 用 在 两 台 机 器 上 同时 运行 ， 但 彼此 均 设 为 备 机 ， 
当 某 一 台 服 务 器 出 现 故障 时 ， 另 一 台 服 务 器 可 以 在 短 时 间 内 将 故障 服务 器 的 应 用 接管 过 
来 ， 从 而 保证 了 应 用 的 持续 性 ， 但 对 服务 器 的 性 能 要 求 比较 高 。 配 置 相对 要 好 。 

双 机 双 工 模式 : 是 cluster( 群 集 ) 的 一 种 形式 ， 两 台 服务 器 均 为 活动 ， 同 时 运行 相同 的 
应 用 ， 保 证 整体 的 性 能 ， 也 实现 了 负载 均衡 和 互 为 备份 ， 需 要 利用 磁盘 柜 存储 技术 (最 好 采 
用 存储 区 域 网 络 San 方式 )。Web 服务 器 或 邮件 服务 器 等 用 此 种 方式 比较 多 。 


任务 实践 





























3.9 使 用 tar 命令 备份 文件 


打包 和 压缩 是 备份 时 的 两 种 操作 。 打 包 是 指 将 一 大 堆 文件 或 目录 变 成 一 个 总 的 文件 ; 
压缩 则 是 将 一 个 大 的 文件 通过 一 些 压 缩 算法 变 成 一 个 小 文件 。 在 Linux 中 ， 很 多 压缩 程序 
只 能 针对 一 个 文件 进行 压缩 ， 这 样 ， 当 你 想 要 压缩 一 大 堆 文 件 时 ， 你 得 先 将 这 一 大 堆 文 件 
先 打 成 一 个 包 (tar 命令 )， 然 后 再 用 压缩 程序 进行 压缩 (gzip bzip2 命令 )。 


3.9.1 ”使 用 tar 备份 文件 


tar 命令 可 以 为 Linux 的 文件 和 目录 创建 备份 。 

利用 tar 命令 ,可 以 把 一 大 堆 的 文件 和 目录 全 部 打包 成 一 个 文件 ， 这 对 于 备份 文件 或 
将 几 个 文件 组 合成 为 一 个 文件 以 便于 网 络 传输 是 非常 有 用 的 。 打 包 之 后 ， 可 以 在 备份 文件 
中 改变 内 容 文件 ， 或 者 向 其 中 加 入 新 的 文件 。 

tar 命令 语法 : 

#tar [选项 ] 文件 与 目录 .... 

参数 选项 如 表 3-11 所 示 。 

例 1， 将 整个 /etc 目录 下 的 文件 全 部 打包 成 为 /mp/etc.tar: 

#tar -cvf /tmp/etc.tar /etc 

-c 打包 ，-v 显示 交互 信息 ，-f 指定 文件 名 ， 此 命令 把 /etc 目录 打包 成 /tmp/etc.tar 文 


并 且 仅 打包 ， 不 压缩 。 
例 2， 将 整个 /etc 目录 下 的 文件 全 部 打包 并 使 用 gzip 压缩 成 为 /tmp/etc.tar.gz: 


# tar -zcvf /tmp/etc.tar.gz /etc 


-zZ 表 示 使 用 gzip 工具 进行 压缩 ，-c 进行 打包 ，-v 显示 交互 信息 ，-f 指定 文件 。 与 上 一 


件 
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个 命令 相 比 ， 多 了 压缩 设 定 ， 这 样 打包 后 ， 以 gzip 压缩 ， 所 以 文件 后 缀 名 通常 命名 
为 .tar.gz， 或 者 简写 为 .tgz。 


表 3-11 tar 命令 功能 选项 




















选 项 功能 说 明 
-c 建立 一 个 压缩 文件 / 包 文件 
Es 解 开 一 个 压缩 文件 / 包 文件 
查看 包 里 面 的 文件 
过 是 否 需 要 用 gzip 压缩 
5 是 否 需要 用 bzip2 压缩 
Vv 压缩 的 过 程 中 显示 文件 
-f 文件 名 使 用 文件 ， 后 面 要 立即 接 文件 名 
Pp 原文 件 的 属性 不 变 
二 可 以 使 用 绝对 路 径 来 压缩 
-T 文件 名 指定 备份 文件 列表 
-N 日 期 比 设 定 的 日 期 (yyyy/mmydd) 还 要 新 的 才 会 被 打包 进 新 建 的 文件 中 
-M 分 卷 处 理 
-C 目录 名 指定 目录 
--exclude FILE 在 压缩 的 过 程 中 ， 不 要 将 指定 的 FILE 打包 


例 3， 将 整个 /etc 目录 下 的 文件 全 部 打包 并 使 用 bzip2 压缩 成 为 /tmp/etc.tar.bz2: 


#tar -jcvf /tmp/etc.tar.bz2 /etc 


-j 是 使 用 bzip2 工具 进行 压缩 ， 打 包 后 ， 文 件 后 级 名 是 .tar.bz2。 

虽然 在 Linux 环境 下 并 不 依靠 后 缀 名 来 标识 文件 类 型 ， 但 在 参数 “-f” 之 后 的 文件 名 
习惯 上 都 用 “ .tar” 来 作为 后 级 名 。 如 果 加 “z” 参 数 ， 则 以 “.tar.gz” 或 “.tgz” 来 代表 
gzip 压缩 过 的 tar file。 如 果 加 “j” 参 数 ， 则 以 “tarbz2” 来 作为 文件 名 。 如 果 不 设 定 这 样 
的 后 级 ， 而 是 随意 命名 ， 那 么 就 需要 使 用 “file 文件 名 ”命令 来 查看 文件 类 型 。 
例 4， 查 看 /tmp/etc.tar.gz 文件 内 有 哪些 文件 : 
#tar -ztvf /tmp/etc.tar.gz 
-t 表示 查看 包 里 面 的 文件 ， 由 于 我 们 使 用 gzip 压缩 ， 所 以 要 查阅 该 tar file 内 的 文件 
也 要 加 上 “-z” 这 个 参数 。 
例 5， 将 /tmp/etc.tar.gz 文件 解压 缩 在 /usr/local/sre 底下 : 


#cd /usr/local/src 
#tar -zxvf /tmp/etc.tar.gz 


六 表示 解 包 ，-z 和 -x 组 合 使 用 时 ， 表 示 使 用 gzip 解压 缩 而 不 是 进行 压缩 ， 此 命令 将 工 
作 目 录 变 换 到 /usr/local/src 下 ， 且 解 开 /tmp/etctargz， 则 解 开 的 目录 会 在 /usrlocal/src/etc 。 


如 
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进入 /usrlocal/src/etc， 使 用 “ls -1” 命 令 查 看 时 会 发 现 ， 该 目录 下 的 文件 属性 与 /etc/ 下 的 可 
能 会 有 所 不 同 。 
例 6， 在 /tmp 底下 ， 将 /tmp/etc.tar.gz 内 的 etc/passwd 解 开 : 


#cd /tmp 
#tar -ztvf /tmp/etc.tar.gz|lmore 
#tar -zxvf /tmp/etc.tar.gz etc/passwd 


可 以 使 用 tar -ztvf 来 查阅 tarfile 内 的 文件 名 称 ， 如 果 只 需 解 出 包 里 面 的 某 个 文件 ， 就 
可 以 通过 此 方法 来 实现 。 
例 7， 将 /etc/ 内 的 所 有 文件 备份 下 来 ， 并 且 保 存 其 权限 : 


#tar -zcvpf /tmp/etc.tar.gz /etc 


-p 表示 保存 原文 件 属性 ， 在 实际 工作 中 ， 这 个 “-p” 的 属性 是 很 重要 的 ， 否 则 当 文 件 
还 原 时 ， 如 果 属 性 不 正确 ， 可 能 导致 安全 隐患 甚至 系统 故障 。 

例如 /etc/shadow， 本 来 除了 root 用 户 ， 都 不 能 访问 ， 如 果 备 份 时 没有 保存 原来 的 属 
性 ， 当 还 原 的 时 候 ， 此 文件 属性 就 是 默认 属性 了 ， 此 时 ， 其 他 用 户 也 可 以 查看 此 文件 内 
容 ， 很 可 能 带 来 安全 问题 。 

例 8， 在 home 中 ， 比 2017/03/01 新 的 文件 才 备 份 : 


#tar -N "2017/03/01' -zcvf home.tar.gz /home 


-N 表示 比 指定 的 时 间 2017 年 3 月 1 日 新 的 home 下 的 文件 ， 会 被 打包 到 home.tar.gz 
文件 中 。 
例 9， 要 备份 home、/etc， 但 不 要 备份 home/testuser: 


#tar --exclude /home/testuser -zcvf myfile.tar.gz /home/* /etc 


--exclude 设 定 排除 ， 此 命令 中 ， 把 /home/testuser 从 备份 的 /home/* 和 /etc 范围 中 排除 出 
来 ， 不 进行 备份 。 原 因 可 能 是 因为 此 目录 不 含有 重要 的 信息 ， 或 者 此 目录 比较 特殊 ， 需 要 
专门 进行 备份 操作 。 

除了 最 常用 的 tar 命令 外 ， 用 于 备份 的 命令 仍 有 很 多 ， 类 似 cp、scp、dd、rsync 等 都 
可 以 对 系统 目标 进行 备份 ， 可 根据 需要 自行 选择 使 用 。 

如 果 备 份 的 信息 多 而 杂 ， 建 议 编写 备份 脚本 并 设 定 定时 任务 ， 并 安排 在 服务 器 空闲 时 
段 进 行 备 份 操作 。 

此 外 ， 现 实 运行 的 系统 ， 很 多 数据 量 非 常 大 ， 要 备份 的 文件 也 可 能 很 多 ， 建 议 先 制订 
备份 计划 和 要 备份 的 文件 列表 ， 然 后 再 实施 备份 ， 以 免 遗漏 。 备 份 完成 后 ， 要 对 备份 进行 
必要 的 记录 ， 以 备 后 查 。 

另外 ， 备 份 好 的 文件 ， 需 要 妥善 保存 。 为 了 恢复 方便 ， 本 地 硬盘 一 般 会 考虑 放置 一 
份 ; 为 了 防止 硬盘 损坏 时 备份 数据 也 丢失 ， 应 该 在 某 台 服务 器 或 磁盘 上 再 至 少 存放 一 份 ; 
有 时 还 会 配置 异地 容 灾 备 份 ， 把 数据 存储 到 地 理 上 的 远程 数据 中 心 (比如 服务 器 在 北京 ， 备 
份 存放 到 深圳 )， 以 防止 地 震 、 洪 水 、 火 山 爆发 等 区 域 性 灾难 彻底 毁坏 系统 数据 。 
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3.9.2 使 用 tar 进行 完全 备份 和 增 量 备份 


1. 任务 描述 


使 用 LAMP 一 键 安装 脚本 ， 默 认 网 站 存放 在 /data 目录 下 。 现 需要 备份 /data 目录 ,但 
/cache 目录 排除 在 外 ， 要 求 保留 所 有 文件 的 权限 和 属性 ， 如 用 户 组 和 读 写 权限 等 。 

按照 预定 的 备份 策略 ， 对 网 站 数据 ， 每 星期 日 进行 完全 备份 ， 星 期 一 到 星期 六 进行 增 
量 备份 。 

进行 数据 恢复 模拟 ， 当 需要 恢复 文件 时 ， 进 行 恢复 操作 。 

2. 任务 分 析 

在 Linux 环境 下 ， 对 重要 的 文件 和 数据 要 进行 定期 的 备份 ， 一 般 是 通过 tar 命令 打包 
压缩 备份 到 指定 的 地 方 ， 如 果 文 件 比较 大 、 比 较 多 ， 还 可 以 利用 -g 选项 来 做 增 量 备份 。 

例 1， 备 份 当前 目录 下 的 所 有 文件 : 


#tar -g /root/tarsnap -zcpf /root/testdata01.tar.gz . 


例 2， 在 需要 恢复 的 目录 下 解压 恢复 : 


#tar -zxpf /root/testdata0l.tar.gz -C . 


-g 选项 在 备份 时 会 给 要 备份 的 目录 文件 做 一 个 快照 ， 记 录 权 限 和 属性 等 信息 ， 第 一 次 
备份 时 /root/tarsnap 不 存在 ， 会 新 建 一 个 并 做 完全 备份 。 当 目录 下 的 文件 有 修改 后 ， 再 次 执 
行 此 备份 命令 (记得 修改 后 面 的 档案 文件 名 )， 会 自动 根据 -g 指定 的 快照 文件 ， 增 量 备 份 修 
改过 的 文件 ， 包 括 权 限 和 属性 ， 没 有 动 过 的 文件 不 会 重复 备份 。 

Linux 的 文件 系统 会 记录 以 下 三 种 时 间 。 

mtime: 文件 修改 时 间 。 当 文件 内 容 发 生 改 变 时 更 新 。ls -1 默认 显示 mtime。 

atime: 文件 访问 时 间 。 当 文件 被 访问 时 自动 更 新 。 要 查看 文件 的 atime， 执 行 ls -lu。 

ctime: 文件 属性 修改 时 间 。 当 文件 属性 或 权限 发 生变 化 时 更 新 。 要 查看 文件 的 
atime， 执 行 ls -lc。 

-g 选项 主要 参照 atime 属性 ， 来 实现 增 量 备份 。tar 非常 依赖 atime， 如 果 备份 期 间 对 
文件 发 生 任 何 访问 ， 或 者 备份 期 间 修 改 了 系统 时 间 ， 那 么 就 会 导致 归档 数据 文件 不 一 致 。 
有 时 候 要 根据 其 他 条 件 进 行 筛 选 备份 时 ， 可 以 和 find 命令 组 合 使 用 ， 设 定 查 找 条 件 ， 并 对 
查找 到 的 文件 进行 备份 。 

另外 需要 注意 ， 恢 复 时 ， 存 在 相同 文件 名 的 文件 会 被 覆盖 ， 而 原 目录 下 已 存在 但 备份 
档案 里 没有 的 ， 会 依然 保留 。 

所 以 如 果 想 完全 恢复 到 与 备份 文件 一 模 一 样 ， 需 要 先 清空 原 目 录 。 如 果 有 增 量 备份 档 
案 ， 则 还 需要 使 用 同样 的 方式 分 别 解压 这 些 档案 ， 而 且 要 注意 顺序 。 

(1) 完全 备份 和 增 量 备份 。 

@ 进入 备份 文件 存放 位 置 /root/testdata: 
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#cd /root/testdata 


@ ”做 一 次 完全 备份 (tarsnap 是 备份 时 生成 的 映像 文件 ): 


#rm -f /root/tarsnap 
#tar -g /root/tarsnap -cpzf /root/testbak data 1.tar.gz /data 


首先 删除 掉 映 像 文 件 ， 当 -g 指定 的 映像 文件 不 存在 时 ，tar 命令 会 进行 完全 备份 。 
-c 创建 备份 文件 ，-p 保留 原始 权限 设置 ，-z 使 用 bzip 进行 压缩 ，-f 指定 打包 文件 名 ， 


/data 是 要 备份 的 目录 。 


@ 第 二 天 开始 ， 每 天 进行 增 量 备份 : 
#tar -g /root/tarsnap -zcpf /root/testbak data 2.tar.gz /data 


在 对 /data 目录 备份 的 过 程 中 ，tar 会 检查 tarsnap 映像 文件 的 内 容 ， 与 当前 文件 进行 比 





较 ， 把 新 增 或 者 发 生 修改 的 文件 (atime， 文 件 访问 时 间 更 新 过 ) 进 行 备份 。 此 外 ， 还 要 注意 


文件 名 ， 不 能 与 完全 备份 的 文件 名 相同 。 


(2) 模拟 恢复 过 程 。 

中 ”恢复 完全 备份 的 档案 文件 。 

进行 恢复 时 ， 可 以 选择 是 否 先 清空 /data/ 目 录 : 

#tar -zzxpf /root/testbak data 1.tar.gz -C /data/ 

@ ”恢复 增 量 备份 的 档案 文件 ， 一 定 要 保证 是 按时 间 顺 序 恢复 的 : 

#tar -zxpf /root/testbak data 2.tar.gz -C /data/ 

(3) 设置 定期 备份 。 

如 果 每 周一 次 全 备 ， 每 天 一 次 增 量 备份 ， 则 可 以 结合 crontab 实现 。 在 做 定时 备份 设 


置 时 ， 除 了 进行 备份 时 间 和 频率 的 设置 外 ， 还 要 考虑 备份 文件 的 名 称 问 题 。 如 果 使 用 固定 
文件 名 ， 就 会 发 生 覆 盖 ， 从 而 备份 失败 。 想 要 不 发 生 覆 盖 ， 就 需要 进行 检测 或 者 使 用 不 会 
重复 的 文件 名 称 。 





考虑 到 文件 名 的 友好 性 问题 ， 常 用 的 备份 名 称 通常 是 备份 对 象 、 备 份 类 型 、 备 份 时 间 


等 信息 的 组 合 。 


例如 databak 20170425 flltargz， 其 中 ，databak 表示 备份 的 是 data 目录 下 的 信息 ， 


20170425 是 备份 的 时 间 ，fnll 表示 进行 完全 备份 ，tar.gz 是 文件 后 缀 名 。 


要 保证 文件 名 不 充分 ， 只 需要 各 字段 其 中 的 一 个 唯一 即 可 。 常 见 的 方法 是 使 用 date 命 


令 获取 备份 时 的 时 间 ( 年 月 日 时 分 秒 ) 来 作为 文件 名 的 一 部 分 。 
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date 命令 的 功能 是 显示 和 设置 系统 日 期 和 时 间 ， 命 令 格式 : 


# date [OPTION]... [+FORMAT] 


date 命令 的 常用 选项 如 表 3-12 所 示 。 
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表 3-12 date 命令 的 常用 选项 























部 分 格式 功能 说 明 

9%6Y 年 (例如 1970、2009 等 ) 
%m 月 (01..12) 

%H 小 时 (00..23) 

%M 分 (00..59) 

%S 秒 (00..59) 

%u 星期 几 (0-g) 

例 1， 使 用 date 命令 获取 时 间 ， 注 意 格式 参数 的 大 小 写 ， 如 图 3-32 所 示 。 


#date 

#date +%u 

#date +%Y%Sm%sd 

#date +%Y%m%d-%H%SM$SS 


[root@liuxuegong1 
Tue hpr 25 88:42:34 
[er ET ~]# date 


[root@liuxuegongl1 ~ ]# date +xY/md 
2Z8178425 

[roote@liuxuegong1 ~ ]# date +xY/md-xHxMS 
2Z8178425-884384 





3-32 date 命令 用 法 


例 2， 设 置 定 时 执行 备份 任务 : 

#crontab -e 

*/5 * * * * tar -zcpf /root/testbak data ‘date +%Y%m%d%H%SM' .tar.gz -9 

/root/snap ‘date +%Y%m%d. 

0 1 */1 * * tar -zcpf /root/testbak data full .‘date +%Y%m%d‘ .tar.gz -9 

/root/snap ‘date +%Y%m%d* 

各 字段 含义 分 别 是 ， 第 一 个 字段 是 分 钟 (0~59)， 第 二 个 字段 是 小 时 (0~23)， 第 三 个 字段 
是 日 期 (1~31)， 第 四 个 字段 是 月 份 (1~12)， 第 五 个 字段 是 星期 (0~6)， 第 六 个 字段 是 要 执行 
的 命令 。 
期 设置 中 ，0 表示 星期 日 ，1~6 表示 星期 一 到 星期 六 。 此 外 ， 月 份 和 星期 可 以 使 用 
英文 缩写 的 形式 来 表示 。 

3. 配置 步骤 说 明 

1) “命令 行 操作 进行 备份 还 原 

(1) 建立 测试 路 径 与 档案 : 


#mkdir test 
#touch test/{a,b,c} 
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在 test 目录 下 生成 三 个 文件 ， 文 件 名 分 别 为 a、b、c。 
(2) 执行 完整 备份 。 

中 完整 备份 : 

#tar -g snapshot -zcf backup full.tar.gz test 
@ 查看 tar 包 的 内 容 : 

# tar -ztf backup full.tar.gz 

test/ 

test/a 

test/b 

test/c 

(3) 差异 + 增 量 备份 。 

Q@ 新 增 一 个 文件 e， 并 修改 一 个 文件 a 的 内 容 : 
#touch test/e 

#echo 123 > test/a 

@ 执行 第 二 次 的 增 量 备份 ; 


#tar -g snapshot -zcf backup incremental 1.tar.gz test 


@ 查看 增 量 备份 的 tar 包 内 容 : 

#tar ztf backup incremental 1.tar.gz 
test/ 

test/a 

test/e 

(4) 还 原 备 份 资料 。 
@ 清空 测试 资料 : 


#rm -rf test 


@ 开始 进行 资料 还 原 : 


#tar zxf backup full.tar.gz 
#tar ZXE backup incremental 1.tar.gz 


@ 查看 测试 资料 : 


#1s test 
a bede 


2) 备份 还 原 脚本 的 编写 

(1) 任务 要 求 。 

做 个 自动 备份 的 脚本 ， 使 用 tar 命令 每 周一 做 一 次 完整 备份 ， 然 后 每 天 只 做 增 量 备 
份 。 设 置 定 时 任务 ， 每 晚 执行 。 

(2) 任务 实施 。 

中 ”编写 备份 文件 backup1.sh: 
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#vi /root/backupl.sh 
#chmod 755 /root/backupl.sh 
#cat /root/backupl.sh 


#!/bin/bash 

非 莫 非 非 非 非 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 

#1 .定义 配置 变量 ， 这 样 要 备份 其 他 目标 时 
# 只 需要 修改 这 些 变 量 的 值 即 可 

# 增 加 脚本 的 重用 性 

非 提 提 拓 提 拓 拓 提 提 提 提 提 划 划 提 划 划 划 划 划 划 划 
dayofweek= “date "+%u". 

today= “date "+%Y%m%d". 
source=/data/ 

backup=/backup/ 


非 非 非 提 提 排 拓 提 提 提 拓 提 提 提 拓 提 提 提 拓 提 提 提 
#2 .如 果 是 周一 ， 进 行 完全 备份 
井 如 果 不 是 周一 ， 进 行 增 量 备份 
非 非 非 提 提 提 提 非 提 提 提 间 提 提 提 提 提 提 提 提 提 提 
cd $backup 
if [ $dayofweek -eq 1 ]; then 
EET Eulldtoday tar. gz™ J; then 
rm -rf snapshot 
tar -g snapshot -zcf "full$today.tar.gz" $source 


和 
else 
if [ ! -f "inc$today.tar.gz" ]; then 
tar -g snapshot -zcf "inc$today.tar.gz" $source 
下 
脚本 说 明 如 下 。 


cd $backup: 进入 要 备份 到 的 目录 。 
让 条 件 ; then ...， 分 支 程序 。 
$dayofweek -eq 1: 如 果 今 天 是 星期 一 ，dayofweek 的 值 是 在 变量 定义 部 分 使 用 date 得 


到 的 值 。 


!-f “full$today.tar.gz”: -f 测试 文件 是 否 存在 ， 双 引号 内 ，Stoday 的 值 会 自动 蔡 换 ，! 是 


逻辑 非 ， 表 示 取 反 的 意思 ， 这 个 条 件 意思 是 ， 当 目标 文件 不 存在 时 ， 即 今天 (如 星期 一 ) 还 
没有 备份 过 ， 那 么 就 做 完全 备份 。 


!-f “inc$today.tar.gz”: 如 果 目 标 文件 不 存在 ， 即 今天 (不 是 星期 一 ，else 分 支 ) 还 没有 备 


份 过 ， 就 做 增 量 备份 。 


@ ”设置 计划 任务 ， 定 时 执行 : 


#crontab -e 
/root/backupl.sh 
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3.10 备份 与 恢复 数据 库 


在 Linux 环境 下 ， 使 用 最 多 的 数据 库 是 MySQL 和 MariaDB 数据 库 ， 这 两 种 数据 库 的 
备份 方法 基本 一 样 。 

备份 数据 库 的 方法 主要 有 两 种 ， 一 是 用 mysqldump 程序 ， 二 是 直接 复制 数据 库 文件 
(如 用 cp、cpio 或 tar 等 )， 两 种 方法 都 有 其 优 缺 点 。 

直接 复制 方法 使 用 时 则 有 些 要 注意 的 事项 。 

首先 ， 复 制 操作 独立 于 数据 库 服务 器 ， 在 数据 库 系统 外 部 进行 ， 复 制 时 ， 如 果 数 据 库 
数据 进行 了 更 新 ， 存 放 信息 的 数据 库 表 在 文件 系统 备份 过 程 中 被 修改 ， 这 样 备份 的 数据 会 
出 现 前 后 不 一 致 的 状态 ， 可 能 引起 未 知 后 果 。 为 了 防止 此 意外 ， 可 暂停 数据 库 服 务 再 执行 
复制 操作 ， 也 称 为 冷 备 份 ， 即 非 运 行 状态 下 的 备份 。 


3.10.1 数据库 备份 与 恢复 


我 们 在 日 常 工作 中 ， 肯 定 会 经 常 进行 备份 数据 库 、 还 原 数 据 库 的 操作 ， 通 常 不 使 用 对 
数据 库 文件 进行 复制 还 原 的 方法 ， 因 为 系统 运行 时 会 不 断 更 新 数据 库 ， 复 制 变化 的 内 容 可 
能 导致 各 种 意外 的 问题 。 

一 般 有 两 种 方式 来 完成 数据 库 的 备份 和 还 原 。 


1. 使 用 into outfile 和 load data infile 导入 导出 备份 数据 


这 种 方法 的 好 处 是 ， 导 出 的 数据 可 以 自己 规定 格式 ， 并 且 导 出 的 是 纯 数据 ， 不 存在 建 
表 信息 ， 可 以 直接 导入 另外 一 个 同 数据 库 的 不 同 表 中 ， 相 对 于 mysqldump 比较 灵活 机 动 。 

例如 ， 使 用 MySQL 命令 ， 把 select 查询 的 mytable 表 中 的 数据 导出 到 /data/db_bak 文 
件 中 : 


>select * from mytable into outfile '/data/db bakl' 
>select * from mytable into outfile '/data/db bak2' fields terminated by 
'|' enclosed by '"' lines terminated by '\r\n' ; 


导入 刚才 备份 的 数据 ， 可 以 使 用 load data infile 方法 。 下 面 的 MySQL 命令 ， 把 先前 导 
出 的 数据 导入 mytable_bak 表 中 : 


>load data infile '/data/db bakl' into table mytable bak 
>load data infile '/data/db bak2' into table mytable bak fields 
terminated by '|' enclosed by '"' lines terminated by '\r\n'; 








2. 使 用 mysqldump 命令 备份 

mysqldump 与 MySQL/MariaDB 服务 器 协同 操作 ， 是 比较 常用 的 数据 库 备 份 方法 。 

mysqldump 比 直接 复制 要 慢 些 ， 但 是 数据 安全 性 会 好 一 些 ， 至 少 ， 它 可 以 采取 方法 保 
证 备份 过 程 中 的 数据 更 新 不 会 丢失 。 
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mysqldump 命令 可 用 来 转 储 数 据 库 ， 或 对 数据 库 进行 备份 ， 或 将 数据 转移 到 另 一 个 支 
持 SQL 查询 的 数据 库 服 务 器 。 转 储 包 含 创建 表 和 装载 表 的 SQL 语句 。 

mysqldump 可 提供 两 种 格式 的 文件 输出 ， 分 别 是 SQL 格式 的 标准 输出 和 文件 分 隔 符 形 
式 的 输出 。 也 可 直接 在 两 个 MySQL 数据 库 之 间 进 行 数据 复制 。 

mysqldump 命令 将 数据 库 中 的 数据 备份 成 一 个 文本 文件 。 表 的 结构 和 表 中 的 数据 将 存 
储 在 生成 的 文本 文件 中 。 

mysqldump 命令 的 工作 原理 很 简单 。 它 先 查 出 需要 备份 的 表 的 结构 ， 再 在 文本 文件 中 
生成 一 个 CREATE 语句 。 然 后 ， 将 表 中 的 所 有 记录 转换 成 一 条 INSERT 语句 。 然 后 通过 这 
些 语句 ， 就 能 够 创建 表 并 插入 数据 。 

(1) 备份 一 个 数据 库 。 

mysqldump 基本 语法 : 

#mysqldump -u username -p dbname tablel table2 > BackupName.sql 

命令 说 明 : 

dbname 参数 表示 要 备份 的 数据 库 的 名 称 。 

tablel 和 table2 参数 表示 需要 备份 的 表 的 名 称 ， 为 空 则 整个 数据 库 备 份 。 

BackupName.sql 参数 是 设 定 备份 文件 的 名 称 ， 在 文件 名 前 面 可 以 加 上 一 个 绝对 路 径 。 
通常 数据 库 备份 文件 后 级 名 设置 为 .sql。 备 份 常用 功能 选项 如 表 3-13 所 示 。 

表 3-13 备份 常用 功能 选项 






































常用 导出 选项 功能 说 明 
--all-databases, -A 备份 所 有 数据 库 
--databases, 用 于 备份 多 个 数据 库 ， 如 果 没 有 该 选项 ，mysqldump 把 第 一 个 名 字 参 数 
-B 作为 数据 库 名 ， 后 面 的 作为 表 名 。 使 用 该 选项 ，mysqldump 把 每 个 名 字 
都 当 作为 数据 库 名 
--force, -f 即使 发 现 SQL 错误 ， 仍 然 继续 备份 
--host=host_name, 备份 主机 名 ， 默 认为 localhost 
-h host_ name 
--no-data, -d 只 导出 表 结 构 
--password[=pw], 密码 
-p[password] 
--port=port_num, 制订 TCP/IP 连接 时 的 端口 号 
-P port num 
--quick, -q 快速 导出 
--tables 覆盖 --databases or -B 选项 ， 后 面 所 跟 参 数 被 视 作 表 名 
--User=user_name, 用 户 名 


-u user name 


--xml, -X 导出 为 XML 文件 
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例如 ， 使 用 root 用 户 备份 test 数据 库 下 的 person 表 : 

#mysqldump -u root -p test person > /root/backup1l.sdql 

(2) 备份 多 个 数据 库 。 

mysqldump 语法 : 

#mysqldump -u username -p --databases dbname2 dbname2 > backup2.sql 
此 备份 命令 加 上 了 --databases 选项 ， 然 后 后 面 可 以 跟 多 个 数据 库 。 
例如 ， 备 份 test 和 MySQL 数据 库 : 

#mysqldump -u root -p --databases test mysql > backup3.sql 
(3) 备份 所 有 数据 库 。 

mysqldump 命令 备份 所 有 数据 库 的 语法 如 下 : 

#mysqldump -u username -p --all-databases > backup4.sql 
例如 ， 备 份 所 有 数据 库 : 

#mysqldump -u -root -p --all-databases > /root/all.sql 


(4) 在 线 热 备份 。 
使 用 参数 --single-transaction， 适 用 于 InnoDB 表 ， 与 --lock-tables 参数 互 斥 ， 备 份 期 间 


不 锁 表 。 为 确保 得 到 有 效 的 备份 文件 ， 使 用 该 参数 备份 期 间 应 避免 使 用 DDL(ALTER 
TABLE、CREATE TABLE、DROP TABLE、RENAME TABLE、TRUNCATE TABLE) 语 


句 ， 





因为 连续 性 地 读 并 没有 对 这 些 语句 进行 隔离 ， 备 份 期 间 使 用 这 些 DDL 语句 会 导致 潜 


在 的 select 获取 到 的 返回 的 数据 不 一 致 或 错误 ， 比 如 数据 读 出 一 半 表 被 删 了 。 


#mysqldump --all-databases --single-transaction --master-data=1 --flush- 
1ogs --events > /tmp/dump.sql 


--flush-logs: 完全 备份 前 刷新 所 有 日 志 到 binlog 文件 ， 并 创建 一 个 新 的 binlog 文件 ， 


用 于 增 量 备份 。 


--master-data: 该 参数 有 两 个 值 1 和 2， 默 认为 1，mysqldump 导出 数据 时 ， 当 这 个 参 


数 的 值 为 1 的 时 候 ，mysqldump 出 来 的 文件 就 会 包括 change master to 这 个 语句 ，change 
master to 后 面 紧 接着 就 是 fle 和 position 的 记录 ， 在 slave 上 导入 数据 时 就 会 执行 这 个 语 


句 ， 


salve 就 会 根据 指定 这 个 文件 位 置 从 master 端 复制 binlog。 当 这 个 值 是 2 的 时 候 ， 








change master to 也 是 会 写 到 dump 文件 里 面 去 的 ， 但 是 这 个 语句 是 被 注释 的 状态 。 








(5) 压缩 备份 文件 。 
例如 ， 压 缩 备 份 文件 ， 并 以 当前 时 间 惟 命名: 


#mysqldump --all-databases --single-transaction --master-data=1 --flush-— 
1ogs --events | gzip > /tmp/dump ‘date '+%Y-%m-%d %H:%M:%S'..sql.gz 


把 date“+%Y-%m-%d_%H:%M:%S’ 命 令 的 结果 作为 文件 名 的 一 部 分 ， 这 里 所 使 用 的 是 


反 引号 。 
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(6) 进行 数据 还 原 。 


还 原 数据 库 的 常用 方法 有 两 种 : 一 种 是 在 数据 库 交互 环境 下 使 用 source 命令 来 执行 备 


份 文件 ， 另 一 种 是 在 Shell 命令 行 界 面 直接 导入 数据 库 。 

















导入 数据 库 ， 常 用 source 命令 。 
进入 MySQL 数据 库 控制 台 : 


mysql -u root -p 
>use 数据 库 


>set names utf8; 

设置 编码 ， 如 果 不 设 置 ， 可 能 会 出 现 乱 码 ， 注 意 不 是 UTF-8， 然 后 使 用 source 命令 ， 
的 参数 为 脚本 文件 (如 这 里 用 到 的 .sqD: 

>source test db.sql 

例 1， 还 原单 个 数据 库 : 

#mysql -u root -p < /root/test.sql 

或 : 


>use test; 
>source /data/test.sql 


例 2， 还 原 多 个 数据 库 (不 需要 指定 数据 库 ): 


#mysql -u root -p < /data/all.sql 





3. 数据 修复 
有 的 时 候 ， 因 为 掉 电 或 者 其 他 原因 导致 数据 库 损 坏 ， 我 们 可 以 使 用 MySQL 自 带 的 





mysqlcheck 命令 来 快速 修复 所 有 的 数据 库 或 者 特定 的 数据 库 。 


mysqlcheck 使 用 语法 : 

# mysqlcheck [options] 数据 库 名 [一 个 或 多 个 数据 表 ] 
# mysqlcheck [options] ---database DB1 [DB2 DB3...] 
# mysqlcheck [options] --all--database 
选项 说 明 如 下 。 

-A: 所 有 数据 库 。 

-a: 分 析 指 定 的 表 。 

-c: 检查 库 或 表 。 

-I: 修复 库 或 表 。 

-0: 优化 指定 的 表 。 

-h: MySQL 服务 主机 。 

-P: 端口 。 

-u: 用 户 名 。 


.(211 


Wl mm Linux 网 络 操作 系统 项 目 教程 


-p: 密码 。 

--auto-repair: 修复 已 损坏 表 。 

例 1， 检 查 优化 并 修复 所 有 的 数据 库 : 
#mysqlcheck -A -o -r -p 

例 2， 修 复 指定 的 数据 库 : 
#mysqlcheck -A -o -r 数据 库 名 称 -p 


3.10.2 ”数据 库 备 份 和 还 原 实例 


1. 任务 描述 


企业 数据 库 名 称 是 testdb， 包 含 users、student 等 十 余 个 表 ， 要 求 对 MariaDB 数据 库 每 
日 零点 自动 完全 备份 。 
删除 (drop) 数 据 库 student， 再 进行 数据 恢复 。 


2. 任务 分 析 


在 企业 场景 中 ， 一 个 数据 库 服务 器 上 可 能 运行 着 多 个 数据 库 ， 在 每 个 数据 库 中 ， 信 息 
存放 在 一 个 个 数据 表 里 。 这 些 数据 表 ， 有 的 数据 很 多 而 且 变 化 更 新 很 快 ， 有 的 数据 量 少 而 
且 变 化 不 大 。 根 据 企业 应 用 特征 ， 对 不 同 的 数据 表 、 数 据 库 制订 好 备份 策略 是 很 重要 的 工 
作 ， 因 为 业务 数据 通常 都 是 存储 在 数据 库 中 的 。 

备份 数据 库 之 前 ， 建 议 把 数据 库 服 务 暂 时 停止 ， 这 样 ， 备 份 得 到 的 数据 可 以 保持 一 至 
性 。 如 果 服 务必 须 持续 提供 ， 不 可 中 断 ， 那 么 备份 时 ， 也 应 该 尽量 锁定 表 。 和 否则 如 果 备 份 
时 发 生 修改 操作 ， 备 份 的 数据 可 能 是 修改 前 的 ， 也 可 能 是 修改 后 的 ， 导 致 出 现 问题 。 

要 对 数据 库 进 行 备份 还 原 ， 首 先 应 准备 好 环境 。 以 下 是 相关 的 配置 命令 。 

(1) 创建 数据 库 student: 

#mysql -u root -p 

>use testdb; 

>CREATE TABLE 'student' ( 

"id' int(11) NOT NULL AUTO INCREMENT, 

"narme' char (20) NOT NULL, 

"age' tinyint(2) NOT NULL DEFAULT '0', 

PRIMARY KEY ('id'), 

KEY '‘'index name' ('name') 

ENGINE=InnoDB AUTO INCREMENT=8 DEFAULT CHARSET=utf8; 











Rf 


insert student values(1,'zhangsan',20); 
insert student values (2,'1isi',21); 
insert student values (3, 'wangwu',22); 
如 果 执 行 use testdb 命令 时 数据 库 testdb 还 不 存在 ， 使 用 “create database testdb ”命令 
创建 testdb 数据 库 。 


WW 
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(2) 对 数据 库 进行 完全 备份 的 命令 : 
#mysqldump -u root -p -B -F -R -x testdb 
| gzip >/root/test $ (date +%F).sql.gz 
参数 说 明 如 下 。 

-B: 指定 数据 库 。 

下 : 刷新 日 志 。 

-R: 备份 存储 过 程 等 。 

-Xx: 锁 表 。 

(3) 删除 testdb 数据 库 的 命令 : 


> drop database testdb; 


3. 配置 步骤 
(1) 编写 Shell 文件 : 


#vi /root/backup2.sh 
#chmod 755 /root/backup2.sh 
#cat /root/backup2.sh 


#!/bin/bash 

DB NAME="'testdb' 

USER= "Froot" 

PWD='Trootpassword' 

TIME=$ (date +%Y%m%d) 

DEL TIME=$ (date --date="7 days ago" +%Y%m%d) 
DB BAK NAME=testdb$ {TIME} .sql 

DB DEL NAME=testdb$ {DEL TIME}.sql 
BACKUP PATH="/root/' 

echo $BACKUP PRTHSDB BAK NAME 

if test -f $BACKUP PRTHSDB DEL NAME 
then 

echo "Delete history dump file" 

rm -f $BACKUP PRTHSDB DEL NAME 

£i 

mysqldump -u $USER -p$PWD -B -F -R -x 
S$DB_NAME>$BACKUP PATH$DB BAK NAME 


脚本 说 明 如 下 。 

DB_NAME 变量 存放 要 备份 的 数据 库 ，USER 变量 存放 用 户 名 ，PWD 变量 存放 密码 ， 
TIME 变量 存放 当前 年 月 日 ，DEL_TIME 存放 7 天 前 的 时 间 ，DB_BAK _ NAME 存放 备份 
到 的 文件 名 ，BACKUP PATH 存放 备份 文件 存放 的 位 置 目录 。 

date --date=“7 days ago” 是 7 天 前 的 时 间 。 

+%Y%m%d 是 设 定 date 命令 的 输出 格式 ，%Y 是 年 ，%m 是 月 ，%d 是 日 。 

test -f 文件 名 是 测试 此 文件 是 否 存 在 。 

mysqldump 命令 执行 备份 。 
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如 果 你 要 调整 修改 备份 的 相关 参数 ， 只 需要 在 文件 的 前 面 直接 修改 各 变量 的 值 ， 脚 本 
功能 实现 部 分 不 需要 进行 修改 。 

(2) 立刻 备份 一 次 ， 测 试 脚本 效果 : 

# /root/backup2.sh 

#15 = /rootry 


(3) 修改 /etc/crontab， 定 制 任务 计划 : 


#crontab -e 
OT /roo /Dackup2:3h 


每 天 的 00:01 分 进行 数据 库 备份 ， 并 保持 7 天 的 备份 记录 。 
(4) 还 原 数据 库 : 


#mysql -u root -p < /root/testdb 最 新 时 间 版 本 .sql 


任务 四 : 管理 中 的 简单 编程 技巧 
任务 实 中 
3.11 ”使 用 管道 和 重 定向 


在 Linux 的 设计 上 ， 推 崇 专 而 精 的 设计 思想 ， 每 个 命令 只 完成 一 个 功能 ， 并 把 这 个 功 
能 做 到 全 面 而 极致 的 程度 。 因 此 ， 我 们 会 发 现 ， 每 个 命令 通常 都 有 几乎 几 十 个 命令 参数 ， 
来 控制 这 些 功能 的 详细 实现 。 

然而 ， 在 日 常 工作 中 ， 几 乎 每 个 管理 操作 通常 都 不 是 一 个 命令 就 可 以 完美 实现 的 ， 通 
常 需 要 若干 个 命令 协同 工作 ， 才 可 以 完成 。 

多 个 命令 如 何 协同 工作 呢 ? 
对 于 每 一 条 命令 或 者 说 程序 而 言 ， 由 三 个 基本 模块 构成 ， 分 别 是 输入 、 处 理 、 输 出 。 
要 让 多 条 命令 能 够 协同 工作 ， 本 质 而 言 ， 就 是 接收 其 他 命令 的 输出 信息 作为 自己 的 输入 ， 
再 把 自己 的 输出 提供 给 其 他 命令 。 程 序 的 最 终结 果 ， 常 常 就 在 链条 的 最 后 一 环 完成 。 

从 这 个 角度 看 ， 要 完成 管理 功能 ， 就 像 是 流水 线 一 样 ， 对 数据 进行 处 理 后 ， 再 转交 给 
下 一 环节 的 一 个 连续 过 程 ， 如 同 链条 一 般 ， 直 到 生产 出 最 后 的 成 品 。 

每 一 个 Linux 命令 ， 都 是 链条 上 的 一 环 。 接 下 来 我 们 学 习 的 ， 就 是 如 何 把 每 一 环 连 起 
来 ， 做 出 一 个 完整 的 流水 线 ， 生 产 出 成 品 来 。 

在 计算 机 领域 ， 管 理 乃至 一 切 的 功能 ， 究 其 实质 ， 终 究 只 是 归结 为 对 数据 的 处 理 。 

连接 链条 的 就 是 数据 。 上 一 条 命令 的 输出 信息 可 以 存放 到 文件 中 ， 然 后 下 一 条 命令 对 
文件 中 的 信息 进行 读 取 ， 这 样 ， 就 可 以 形成 完整 的 链条 ， 如 图 3-33 所 示 。 
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图 3-33” 环 环 相 扣 的 命令 


数据 存在 于 文件 中 ， 我 们 处 理 的 数据 ， 主 要 来 自 两 种 类 型 的 文件 : 普通 文件 中 存放 的 
数据 和 数据 库 中 存放 的 数据 。 

实际 上 ， 还 有 两 类 特殊 的 机 制 ， 可 以 完成 数据 的 传输 ， 它 们 就 是 管道 和 重 定向 。 

管道 的 作用 ， 是 把 上 一 条 命令 的 输出 口 像 流 水 一 样 通过 管道 传输 到 下 一 条 命令 的 输入 
口 。 而 重 定向 ， 则 是 把 默认 的 输入 输出 设备 重新 指向 新 的 位 置 ， 例 如 指向 某 一 文件 。 


3.11.1 在 日 常 管理 中 使 用 管道 





管道 是 使 用 非常 普遍 的 。 当 多 个 命令 组 合 使 用 时 ， 可 以 把 前 一 个 命令 的 输出 当 作 下 一 
个 命令 的 输入 ， 从 而 实现 更 强大 的 功能 ， 达 到 1+1 远 远大 于 2 的 效果 ， 如 图 3-34 所 示 。 
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例如 ， 查 看 日 志文 件 messages， 因 为 文件 内 容 过 多 ， 要 查找 到 关于 服务 systemd 的 相 
关 信 息 就 很 困难 。 比 较 一 下 下 列 几 个 命令 : 
#cat /var/log/messages 


#more /var/log/messages 
#grep systemd /var/log/messages 


命令 说 明 如 下 。 
执行 第 一 条 命令 cat， 可 以 查看 日 志文 件 messages 的 内 容 。 
执行 第 二 条 命令 more， 可 以 分 屏 显示 文件 内 容 ， 是 文件 内 容 太 多 ， 导 致 只 能 看 到 最 后 
一 屏 内 容 的 情况 下 的 合适 选择 。 显 示 满 一 屏 信息 后 ， 会 暂停 ， 保 证 阅读 质量 。 
执行 第 三 条 命令 grep， 可 以 筛选 文件 中 包含 指定 信息 “systemd” 的 行 并 显示 内 容 。 通 
常用 来 查找 确定 目标 的 信息 ， 前 提 是 对 目标 文件 的 功能 和 内 容 格式 有 一 定 了 解 ， 这 样 你 才 
.016\. 
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知道 什么 信息 存放 在 哪个 文件 里 ， 而 且 是 按 什么 格式 存放 的 。 
再 比较 一 下 下 列 几 个 命令 : 
#cat /var/log/messages 
#cat /var/log/messages|more 


#cat /var/log/messageslgrep systemd 
#cat /var/log/messageslgrep systemd|more 


命令 说 明 如 下 。 

这 里 我 们 使 用 了 cat 命令 来 查看 文件 内 容 。 

第 一 条 命令 ， 直 接 用 cat 查看 文件 内 容 ， 因 为 内 容 过 多 ， 我 们 会 看 到 很 多 信息 瞬间 滑 
过 ， 结 果 只 能 看 到 文件 最 后 面 的 信息 内 容 。 

第 二 条 命令 ， 对 cat 查看 的 信息 进行 进一步 处 理 ， 把 这 些 信息 使 用 more 命令 来 分 屏 查 
看 ， 此 时 ， 信 息 在 显示 满 一 屏 后 暂停 ， 当 我 们 查看 完毕 后 ， 按 空格 键 可 以 继续 显示 下 一 屏 
信息 。 

第 三 条 命令 ， 对 cat 查看 的 信息 进行 另 一 种 处 理 ， 从 这 些 信息 中 查找 包含 字符 串 
“systemd" 的 行 ， 并 进行 显示 。 此 时 ， 只 会 查看 到 与 systemd 服务 相关 的 信息 。 当 然 ， 信 息 
还 是 有 些 多 ， 于 是 ， 翻 屏 的 结果 是 只 能 看 到 最 后 的 信息 。 

第 四 条 命令 ， 对 第 三 条 命令 的 结果 进行 分 屏 显示 ， 这 样 就 可 以 仔细 查看 目标 信息 了 。 

以 上 命令 中 ，“|” 就 是 管道 的 意思 。 在 命令 4 中 ， 命 令 1“cat” 的 输出 ， 通 过 管道 ， 
送 给 命令 2“grep” 作 为 输入 ， 然 后 命令 2“grep” 的 输出 再 通过 管道 作为 命令 3“more” 
的 输入 ， 最 后 的 命令 more 的 输出 就 会 直接 显示 在 屏幕 上 面 了 。 

可 以 看 到 ， 通 过 管道 ， 让 多 个 命令 协同 工作 ， 可 以 更 好 地 完成 我 们 的 任务 ， 极 大 地 提 
高 工作 的 效率 。 

再 执行 以 下 命令 : 

#wc -1 /var/log/messages 

#cat /var/log/messages|lwc -1 

#cat /var/log/messages|lgrep systemd|lwc -1 

命令 说 明 如 下 。 

执行 第 一 条 命令 ，wc 命令 会 统计 文件 messages 中 的 总 行 数 ，-] 选项 是 行 统计 (line)， 
还 有 -c 统计 字符 (char)，-w 统计 单词 (word)。 

执行 第 二 条 命令 ， 把 cat 命令 的 输出 送 给 “wec -1” 命 令 进行 行 数 统计 ， 我 们 看 到 的 也 
是 文件 的 总 行 数 ， 这 里 的 管道 ， 是 把 cat 命令 的 输出 信息 作为 we 命令 的 输入 信息 了 。 最 后 
我 们 看 到 的 是 wc 命令 的 输出 ， 即 messages 文件 的 总 行 数 。 

执行 第 三 条 命令 ，cat 命令 的 输出 送 给 grep 命令 进行 筛选 ， 把 所 有 包含 systemd 内 容 
的 行 挑 出 来 ， 继 续 送 给 “wc -1” 命 令 进行 行 数 统计 。 最 后 我 们 看 到 的 是 包含 systemd 信息 
的 总 行 数 。 

管道 不 仅仅 使 用 在 查看 文件 内 容 中 ， 在 日 常 管理 中 ， 也 无 时 无 刻 都 在 使 用 它 。 
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例 1， 如 何 计算 当前 目录 下 的 文件 数 和 目录 数 : 

#15 =1 /etc/* gzep = we = 

#1ls -1 /etc/* |grep "^d"|wc -1 

命令 说 明 如 下 。 

“]s -1” 命 令 使 用 长 格式 显示 /etc/ 目 录 下 的 所 有 文件 和 子 目录 信息 。 

grep 命令 对 ls 命令 的 输出 结果 进行 筛选。 

“wc -1” 命 令 对 筛选 的 结果 进行 行 数 统计 。 

grep 命令 的 筛选 参数 中 ，^ 表 示 从 开始 匹配 。 

“^ 人 ”表示 开头 第 一 个 字符 是 “-”， 在 “ls -1” 的 输出 结果 中 ， 每 一 行 最 开始 的 字符 
为 “-”， 表 示 是 普通 文件 。 

“^d” 表 示 开 头 第 一 个 字符 是 “-”， 在 “ls -1” 的 输出 结果 中 ， 每 一 行 最 开始 的 字符 
为 “d”， 表 示 是 目录 文件 。 

例 2， 如 何 只 显示 子 目 录 ? 

#1ls -F /etc | grep "/$" 


命令 说 明 : 

“ls -F” 命 令 中 ，-F 选项 可 以 为 显示 内 容 增加 分 类 信息 ， 对 于 目录 ， 会 在 名 称 最 后 增 
加 “/” 的 显示 。 

grep 命令 对 ls 命令 的 输出 结果 进行 筛选 ，$ 表 示 从 最 后 匹配 ，/$ 即 表示 以 /结尾 。 也 就 
是 -F 选项 添加 的 类 别 标记 。^ 和 $ 的 作用 刚好 相反 。 


3.11.2 ” 重 定 向 的 使 用 方法 


当 程 序 执行 时 ， 会 定义 三 个 使 用 的 设备 文件 ， 分 别 是 标准 输入 设备 、 标 准 输出 设备 、 
标准 错误 输出 设备 。 标 准 输入 设备 (设备 id 是 0) 默 认 指 向 键盘 ， 标 准 输出 设备 (设备 id 是 1) 
默认 是 显示 器 ; 标准 错误 输出 设备 (设备 id 是 2) 默 认 也 是 显示 器 。 
因此 ， 当 程序 执行 时 ， 我 们 的 键盘 输入 ， 程 序 可 以 接收 ;程序 的 输出 和 错误 信息 ， 我 
们 可 以 在 显示 器 上 看 到 。 

如 果 对 这 些 默认 的 设备 指向 进行 修改 ， 就 叫 作 重 定向 。 修 改 输入 重 定向 ， 就 是 设 定 新 
的 输入 源 ， 修 改 输出 重 定向 ， 就 是 把 输出 信息 写 到 别 的 地 方 ， 修 改 错误 重 定 向 ， 就 是 把 错 
误 信 息 写 到 别 的 地 方 。 

重 定向 的 标记 有 “<”、“<<”、“>”、“>> ”四 种 。 

“<” 是 输入 重 定向 标记 ，“<<” 是 本 地 输入 重 定向 标记 ，“>” 是 输出 重 定向 标记 ， 
“>>” 是 输出 附加 重 定向 标记 。 其 中 ， 输 出 重 定 向 会 删除 目标 文件 原 内 容 ， 再 写 入 新 内 
容 ; 而 输出 附加 重 定向 则 是 在 原文 件 内 容 最 后 增加 新 的 内 容 ， 原 内 容 不 变 。 

重 定向 的 使 用 方法 如 下 所 示 : 


cmd <file 


cmd 命令 以 file 文件 作为 标准 输入 设备 
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cmd >file 
把 标准 输出 设备 重 定向 到 file 文件 中 
cmd 1>file 
把 标准 输出 设备 重 定向 到 file 文件 中 
cmd 2>file 
把 标准 错误 输出 设备 重 定向 到 file 文件 中 
cmd >>file 
把 标准 输出 设备 重 定向 到 file 文件 中 (追加 ) 
cmd >file 2>&1 
把 标准 输出 设备 和 标准 错误 输出 设备 一 起 重 定向 到 file 文件 中 
cmd 2>>file 
把 标准 错误 输出 设备 重 定向 到 file 文件 中 (追加 ) 
cmd >>file 2>&1 
把 标准 输出 设备 和 标准 错误 输出 设备 一 起 重 定向 到 file 文件 中 (追加 ) 
cmd <file >file2 
cmd 命令 以 file 文件 作为 标准 输入 设备 ， 以 file2 文件 作为 标准 输出 设备 
cmq << 结 束 符 定义 
Here document， 从 标准 输入 设备 中 读 入 ， 直 至 遇 到 定义 的 结束 符 


例 1: 


#echo "Hello, Welcome! ">filel 
创建 filel1， 并 把 信息 "Hello，Welcome! " 写 入 文件 
#cat filel 
查看 filel 文件 内 容 
#cat filel>file2 
创建 file2， 并 把 filel 的 内 容 写 入 file2 
#cat file2 
查看 file2 文件 内 容 
#cat filel file2>file3 
创建 file3， 并 把 filel 和 file2 内 容 写 入 file3 
#cat file3 
查看 file3 文件 内 容 
#cat filel >>file3 
把 filel 的 内 容 追 加 到 file3 
#cat file3 
查看 file3 内 容 


例 2: 

#1s -1 >null 2>&1 

命令 说 明 : 

执行 命令 “ls -1”， 以 长 列表 格式 显示 当前 目录 下 的 文件 和 子 目录 ; “>null” 表 示 把 


输出 信息 重 定向 到 设备 null， 等 于 丢弃 了 所 有 信息 ; “2>&1” 表 示 把 错误 信息 重 定向 到 标 
准 输 出 设备 ， 也 就 是 刚 定义 的 null， 效 果 也 是 丢弃 所 有 错误 信息 。 如 果 执 行 命令 时 不 想 看 
到 命令 反馈 ， 就 可 以 执行 此 命令 。 
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3.12 ”必须 掌握 的 几 个 命令 
3.12.1 使 用 find 查找 文件 


find 命令 用 来 查找 符合 条 件 的 目标 文件 ， 并 可 以 进行 相关 的 处 理工 作 。 
find 命令 的 语法 是 : 
#find 查找 位 置 -参数 [ -print ] [ -exec -ok command ] {} \; 


命令 说 明 如 下 。 

查找 位 置 : find 命令 所 查找 的 目录 路 径 。 例 如 用 “.” 来 表示 当前 目录 ， 用 “/” 来 表示 

-print: find 命令 将 匹配 的 文件 输出 到 标准 输出 。 

-exec: find 命令 对 匹配 的 文件 执行 该 参数 所 给 出 的 Shell 命令 。 相 应 命令 的 形式 为 
‘command’” { } \;， 注 意 {} 和 \; 之 间 有 空格 分 隔 。 

-ok: 与 -exec 的 作用 相同 ， 只 不 过 以 一 种 更 为 安全 的 模式 来 执行 
命令 ， 在 执行 每 一 个 命令 之 前 ， 都 会 给 出 提示 ， 让 用 户 来 确定 是 否 执 

常用 参数 说 明 如 表 3-14 所 示 。 

表 3-14 find 命令 参数 的 说 明 


该 参数 所 给 出 的 Shell 
行 。 


参 数 功能 说 明 
-name 文件 按 文 件 名 称 来 查找 
-perm 权限 按 权限 来 查找 
-user 属 主 按 文件 属 主 来 查找 


-group 组 名 按 组 来 查找 

-mtime -n +n 按 文件 更 改 时 间 来 查找 文件 ，-n 指 n 天 以 内 ，+n 指 n 天 以 前 

-atime -n +n 按 文 件 访问 时 间 来 查找 文件 ，-n 指 n 天 以 内 ，+n 指 n 天 以 前 

-ctime -n +n 按 文 件 创建 时 间 来 查找 文件 ，-n 指 n 天 以 内 ，+n 指 n 天 以 前 

-nogroup 查 无 有 效 属 组 的 文件 ， 即 文件 的 属 组 在 /etc/groups 中 不 存在 

-nouser 查 无 有 效 属 主 的 文件 ， 即 文件 的 属 主 在 /etc/passwd 中 不 存在 

-newer fl ! 亿 查 更 改 时 间 比 生 新 但 比 包 旧 的 文件 

-type b/d/c/p/Vf_|」 按 文件 类 型 查找 ， 块 设备 b、 目 录 d、 字 符 设 备 ce、 管道 p、 符 号 链接 1、 普 通 文件 工 


例 1， 使 用 find 命令 来 查找 目标 文件 : 

















#find ~ -name "*.txt" -print 
在 用 户 家 目录 中 查找 .txt 文件 并 显示 ，-name 表示 按照 文件 名 查找 
#find . -name "[A-Z]*" -Print 


查 以 大 写字 母 开 头 的 文件 ，“.” 指 当前 目录 ，“ [A-z] *” 是 通配符 ，[] 表 示 匹 配 里 面 的 任意 一 
个 字符 ，A-z 表示 从 A 到 z， 即 任意 大 写字 母 作为 第 一 个 字母 ，* 表 示 任 意 长 度 的 任意 字符 


(a. 


mm Linux 网 络 操作 系统 项 目 教 程 


#find /etc -name "ho*" -print 

在 /etc 目录 下 查找 以 ho 开头 的 所 有 文件 
#find - =name mEa=zl(la=z] ll0—9)*" -peint 

在 当前 目录 下 查找 以 两 个 小 写字 母 和 一 个 数字 开头 的 所 有 文件 
#find . -perm 755 ~print 

在 当前 目录 下 查找 权限 是 755 的 文件 
#find . -type d -print 

在 当前 目录 下 查找 所 有 类 型 是 目录 的 文件 
#find . -size +1000000c -print 

在 当前 目录 下 查找 长 度 大 于 1MB 的 文件 
#find /-amin -10 -print 

查找 在 系统 中 最 后 10 分 钟 访问 的 文件 
#find / -atime -2 -print 

查找 在 系统 中 最 后 48 小 时 访问 的 文件 
#find / -empty -print 

查找 在 系统 中 为 空 的 文件 或 者 文件 夹 
#find / -group testgroup -print 

查找 在 系统 中 属于 testgroup 的 文件 
#find / -mmin -5 -print 

查找 在 系统 中 最 后 5 分 钟 里 修改 过 的 文件 
#find / -mtime -1 -print 

查找 在 系统 中 最 后 24 小 时 里 修改 过 的 文件 
#find / -nouser -print 

查找 在 系统 中 属于 作废 用 户 的 文件 
#find / -user liuxuegong -print 


查找 在 系统 中 属于 1iuxuegong 这 个 用 户 的 文件 


例 2， 查 当前 目录 (.) 下 的 所 有 普通 文件 ， 并 在 -exec 选项 中 使 用 ls -1 命令 将 它们 列 出 : 


#find . -type 上 -exec 1s -1 {} \; 


例 3， 在 /logs 目录 中 查找 更 改 时 间 在 5 日 以 前 的 文件 并 删除 它们 : 


#find /logs -type f -mtime +5 -exec -ok rm {} \; 


例 4， 查 询 当天 修改 过 的 文件 : 


#find ./ -mtime -1 -type f -exec 1s -1 {} \; 
例 5， 查 找 含 特定 字符 串 “user” 的 文件 : 


#find . -type f -exec grep "user" {} \; -print 


3.12.2 ”使 用 grep 筛选 信息 


打印 出 来 ) 是 一 种 强大 的 文本 搜索 工具 ， 它 能 使 用 正则 表达 式 搜 索 文本 ， 并 把 


grep(global search regular expression and print out the line， 全 面 搜索 正则 表达 式 并 把 行 


出 来 。 
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grep 的 常见 用 法 如 下 : 
# grep [-acinv] [--color=auto] "搜寻 字符 串 ' 文件 名 





匹配 的 行 打印 
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选项 与 参数 说 明 如 下 。 
-a: 对 binary 文件 以 text 文件 的 方式 搜寻 数据 。 
-c: 计算 找到 ' 搜 寻 字 符 串 " 的 次 数 。 
-i: 忽略 大 小 写 的 不 同 ， 所 以 大 小 写 视 为 相同 。 
-n: 输出 行 号 。 
-V: 反 向 选择 ， 亦 即 显示 出 没有 “搜寻 字符 串 * 内 容 的 那 一 行 。 
--color=auto: 可 以 将 找到 的 关键 词 部 分 加 上 颜色 的 显示 。 
例 1， 查 找 /etc/passwd 账号 文件 中 root 用 户 的 信息 : 
#grep root /etc/passwd 
查找 passwd 文件 中 包含 “root” 的 行 并 输出 
#cat /etc/passwd | grep root 
查找 passwd 文件 中 包含 “root ”的 行 并 输出 
#grep -n root /etc/passwd 
查找 passwd 文件 中 包含 “root” 的 行 并 输出 ，-n 输出 行 号 
#grep -V root /etc/passwd 
查找 passwd 文件 中 不 包含 “root” 行 并 输出 
#grep -V root /etc/passwd | grep -Vv nologin 
查找 passwd 文件 中 不 包含 “root ”并且 不 包含 “nologin” 的 行 并 输出 
#grep -n root /etc/passwd --color=auto 
查找 passwd 文件 中 包含 “root” 的 行 并 输出 ， 输 出 行 号 ，root 显示 颜色 
#grep -n root /etc/passwd --color=auto -A3 -B2 
查找 passwd 文件 中 包含 “root ”的 行 并 输出 ， 输 出 行 号 ，root 显示 颜色 ， 
显示 的 内 容 还 包括 之 前 的 两 行 和 之 后 的 三 行 


例 2， 在 目录 中 搜索 含 “abc” 行 的 文件 : 


#grep "abc' * 
在 当前 目录 搜索 含 “abc” 行 的 文件 
#grep -r "abc' * 
在 当前 目录 及 其 子 目 录 下 搜索 含 “abc” 行 的 文件 ， 
-表示 递归 地 对 目录 下 的 所 有 文件 (包括 子 目 录 ) 进行 搜索 筛选 
#9rep =1 =r "abc" * 
在 当前 目录 及 其 子 目录 下 搜索 含 “abc” 行 的 文件 ， 但 是 不 显示 匹配 的 行 ， 只 显示 匹配 的 文件 
-1 表示 只 打印 匹配 的 文件 名 


如 果 使 用 正则 表达 式 ， 可 以 执行 更 复杂 的 搜索 。 
3.12.3 ”使 用 cut 进行 内 容 提取 


cut 是 一 个 选取 命令 ， 就 是 将 一 段 数 据 经 过 分 析 ， 取 出 我 们 想 要 的 。 一 般 来 说 ， 选 取 
信息 通常 是 针对 “ 行 ”来 进行 分 析 的 ， 并 不 是 针对 整 篇 信息 分 析 的 。 

cut 的 语法 格式 为 : 

#cut 选项 文件 名 

cut 命令 从 文件 的 每 一 行 剪 切 字 节 、 字 符 和 字段 并 将 这 些 字 节 、 字 符 和 字段 写 至 标准 
输出 。 
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如 果 不 指定 文件 名 参数 ，cut 命令 将 读 取 标 准 输 入 。 

必须 指定 -b、-c 或 -f 标志 之 一 。 

常用 参数 选项 如 下 : 

-b: 以 字 节 (bytes) 为 单位 进行 分 割 。 

-c: 以 字符 (characters) 为 单位 进行 分 割 ， 可 以 用 于 中 文字 符 ( 双 字 节 )， 对 于 英文 字母 
(单字 节 )， 效 果 与 -b 相同 。 

-d: 自 定 义 分 隔 符 ， 默 认为 制 表 符 。 

-f: 与 -d 一 起 使 用 ， 指 定 显 示 哪 个 区 域 (fields)。 

建立 一 个 文件 testfile， 内 容 共 三 行 ， 如 下 所 示 : 

#vi testfile 

#cat testfile 

Line one; 


Line two; 
Line three。 
例 1， 从 行 中 提取 内 容 : 
#cat testfile | cut -b 3 
取 每 行 的 第 三 个 字 节 ， 也 就 是 3 行 “n” 
#cat testfile | cut -b 3-5,7 
取 每 行 的 第 3 到 5 共 三 个 字 节 和 第 7 个 字 节 ， 对 于 第 一 行 ， 也 就 是 “ne n” 
#cat testfile | cut -b -3 
-3 表示 取 从 第 一 个 字 节 到 第 三 个 字 节 ， 也 就 是 三 行 “Lin” 
#cat testfile | cut -b 3- 
取 第 三 个 字 节 到 最 后 ， 对 于 第 一 行 ， 也 就 是 “ne one; ” 


很 多 文件 内 容 长 度 不 是 固定 的 ， 这 样 就 很 难 用 -b 或 -c 在 每 一 行 都 提取 出 合适 的 信息 。 
例如 /etc/passwd 文件 ， 使 用 “:” 作 为 分 隔 符 分 成 了 多 个 区 域 ， 而 每 个 区 域 长 度 并 不 固定 ， 
对 于 这 样 的 格式 ， 就 可 以 使 用 区 域 提取 来 获得 想 要 的 内 容 。 

在 cut 命令 中 ， 我 们 可 以 把 间隔 符 设 为 “:”， 然 后 指定 要 提取 的 域 ， 就 可 以 把 需要 的 
信息 提取 出 来 。 

例 2， 从 行 中 提取 区 域内 容 : 

#cat /etc/passwdlhead -n 3 

显示 passwd 文件 的 前 3 行 
#cat /etc/passwdlhead -n 3|Icut -d : -f 1 

使 用 “: ”作为 分 隔 符 ， 显 示 前 五 行 中 每 行 的 第 一 个 区 域内 容 ， 即 用 户 名 字段 
#cat /etc/passwdlhead -n 3Icut -d : -f 1-3, 5 

使 用 “: ”作为 分 隔 符 ， 显 示 1、2、3、5， 共 4 个 区 域内 容 


#cat /etc/passwdlhead -n 3Icut -d : -f -3 
使 用 “: ”作为 分 隔 符 ， 显 示 1、2、3， 共 3 个 区 域内 容 








3.12.4 ”sed 命令 的 使 用 


sed 是 一 个 很 好 的 文件 处 理工 具 ， 本 身 是 一 个 管道 命令 ， 主 要 是 以 行为 单位 进行 处 
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理 ， 可 以 对 数据 行进 行 蔡 换 、 删 除 、 新 增 、 选 取 等 特定 工作 。 
sed 命令 行 的 格式 为 : 


#sed [-nefri] 'command' 输入 文本 


常用 选项 如 下 。 

-n: 使 用 安静 (silent) 模 式 。 在 一 般 sed 的 用 法 中 ， 所 有 来 自 标准 输入 设备 的 信息 一 般 
都 会 被 显示 到 屏幕 上 。 但 如 果 加 上 -n 参数 后 ， 则 只 有 经 过 sed 特殊 处 理 的 那 一 行 (或 动作 ) 
才 会 被 列 出 来 。 

-e: 直接 在 指令 列 模式 上 进行 sed 的 动作 编辑 。 

-f: 直接 将 sed 的 动作 写 入 一 个 文件 ，-f filename 则 可 以 执行 filename 内 的 sed 动作 。 

-I: sed 的 动作 支持 的 是 扩展 型 正则 表达 式 的 语法 ( 预 设 是 基础 正规 表示 法 语法 )。 

-i: 直接 修改 读 取 的 档案 内 容 ， 而 不 是 由 屏幕 输出 。 

常用 命令 如 下 。 

a: 新 增 ，a 的 后 面 可 以 接 字 串 ， 而 这 些 字 串 会 在 新 的 一 行 出 现 (目前 的 下 一 行 )。 

c: 替换 ，e 的 后 面 可 以 接 字 串 ， 这 些 字 串 可 以 取代 nl、n2 之 间 的 行 。 

d: 删除 ， 因 为 是 删除 ， 所 以 d 后 面 通常 不 接任 何 东西 。 

i: 插入 ，i 的 后 面 可 以 接 字 串 ， 而 这 些 字 串 会 在 新 的 一 行 出 现 (目前 的 上 一 行 )。 

p: 打印 ， 亦 即将 某 个 选择 的 资料 印 出 。 通 常 p 会 与 参数 sed -n 一 起 运作 。 

s: 蔡 换 ， 可 以 直接 进行 替换 的 工作 ! 通常 ， 这 个 s 的 动作 可 以 搭配 正则 表达 式 ， 例 如 
1,20s/old/new/g。 

建立 测试 文件 ， 并 输入 十 行内 容 : 

#vi abc 

#cp abc abcl 

#cp abc abc2 

#cat abc 


Line one; 
Line two; 





Line Ten$ 
例 1， 在 文件 abc 中 删除 某 行 : 


#sed '1d' abc 
删除 第 一 行 

#sed '$d' abc 
删除 最 后 一 行 

#sed '1,2d' abc 
删除 第 一 行 到 第 二 行 

#3ed "2,$d" abc 
删除 第 二 行 到 最 后 一 行 


例 2， 在 文件 显示 某 行 : 


#sed -n "1p' abcl 
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显示 第 一 行 

#sed -n $p' abcl 
显示 最 后 一 行 

#3sed =n "1,2p" apel 
显示 第 一 行 到 第 二 行 

#sed -n '2,$p' abcl 
显示 第 二 行 到 最 后 一 行 


例 3， 使 用 模式 匹配 (正则 表达 式 ) 进 行 查询 : 


#sed -n '/on/p' abcl 
查询 abc 文件 中 包含 关键 字 “on” 的 所 有 行 并 输出 
#sed -n '/\$/p' abcl 
查询 包括 关键 字 “$” 的 所 有 行 ， 使 用 反 斜 线 \ 屏 项 其 特殊 含义 


例 4， 增 加 一 行 或 多 行 字符 串 : 


#sed 'la wellcome' abcl 

第 一 行 后 增加 字符 串 “wellcome” 
#sed '1,3a wellcome' abcl 

第 一 行 到 第 三 行 后 增加 字符 串 “wellcome” 
#sed 'la wellcome\nyou' abcl 


第 一 行 后 增加 多 行 ， 使 用 换行 符 \n 
例 5， 替 换 一 行 或 多 行 : 
#sed "1c first line;' abcl 
第 一 行 替换 为 “first line;” 
#sed '3,5c third line;' ab 
第 三 行 到 第 四 行 的 内 容 普 换 为 “third line;” 
例 6， 替 换 一 行 中 的 某 部 分 。 
命令 格式 : sed “s/ 要 蔡 换 的 字符 串 / 新 的 字符 串 /g" 
要 替换 的 字符 串 可 以 用 正则 表达 式 ，/g 表示 蔡 换 全 部 的 匹配 项 ， 和 否则 只 替换 第 一 个 匹 





配 项 。 
#sed -n '/one/p' abc2 | sed 's/one/1/g' 
替换 one 为 1 
#sed -n '/two/p' abc2 | sed 's/two//g' 
删除 two 


sed 命令 的 使 用 十 分 灵活 ， 多 学 多 练 ， 才 能 运用 自如 。 
3.12.5 awk 的 使 用 


awk 是 一 个 强大 的 文本 分 析 工 具 ， 相 对 grep 的 查找 、sed 的 编辑 ，awk 在 其 对 数据 分 
析 并 生成 报告 时 ， 显 得 尤为 强大 。 

简单 地 说 ，awk 的 功能 ， 就 是 把 文件 逐 行 读 入 ， 以 空格 为 默认 分 隔 符 ， 将 每 行 切片 ， 
切 开 的 部 分 再 进行 各 种 分 析 处 理 。 
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awk 命令 行 的 格式 为 : 


awk '{pattern + action}' {filenames} 


pattem 表示 awk 在 数据 中 查找 的 内 容 ， 而 action 是 在 找到 匹配 内 容 时 所 执行 的 一 系列 
命令 。 大 括号 他 不 需要 在 程序 中 始终 出 现 ， 但 它们 用 于 根据 特定 的 模式 对 一 系列 指令 进行 
分 组 。pattern 就 是 要 表示 的 正则 表达 式 ， 用 斜 杠 括 起 来 。 

awk 语言 的 最 基本 功能 ， 是 在 文件 或 者 字符 串 中 基于 指定 规则 浏览 和 抽取 信息 ，awk 
抽取 信息 后 ， 才 能 进行 其 他 文本 操作 。 

完整 的 awk 脚本 通常 用 来 格式 化 文本 文件 中 的 信息 。 

通常 ，awk 是 以 文件 的 一 行为 处 理 单位 的 。awk 每 接收 文件 的 一 行 ， 然 后 执行 相应 的 
命令 ， 来 处 理 文本 。 

准备 好 要 操作 的 文件 : 


#cp /etc/passwd testfile 
#head -5 testfile 


例 1， 抽 取 显 示 用 户 名 : 
#cat toestfile | auk EF ve™ (print $1y" 
使 用 “: ”作为 分 隔 符 ， 把 输入 行 分 隔 成 多 个 区 域 ， 输 出 第 一 个 区 域 ($1) 
此 时 ，awk 工作 流程 是 这 样 的 ， 读 入 由 “\n’ 换 行 符 分 割 的 一 条 记录 ， 然 后 将 记录 按 指定 
的 域 分 隔 符 划分 域 ， 填 充 域 ，$0 表示 所 有 域 ，$1 表示 第 一 个 域 ，$n 表示 第 n 个 域 。 默 认 
域 分 隔 符 是 空格 键 或 Tab 键 。-F 指定 域 分 隔 符 。 
例 2， 抽 取 显 示 用 户 名 和 登录 Shell: 


#cat testfile lawk -F ':' '{print S$l1"Nt"S7} 
显示 /etc/passwd 的 账户 和 账户 对 应 的 She11， 而 账户 与 Shel1 之 间 以 Tab 键 分 隔 





Feat ostelle | ave Wer root/” 
搜索 testfile 文件 中 有 “root” 关 键 字 的 所 有 行 ，/root/ 是 正则 表达 式 做 条 件 匹 配 


#cat testfile lawk -F ':' 'BEGIN {print "Username\tLoginshell"} 
{print $1"\t"$7} END {print "testuser\t/bin/nologin"}' 
显示 /etc/passwd 的 账户 和 账户 对 应 的 shell1， 而 账户 与 shel1 之 间 以 逗号 分 割 ， 
而 且 在 所 有 行 添加 列 名 Username 和 Loginshell， 在 最 后 一 行 添加 一 行 额外 测试 信息 
此 时 ，awk 工作 流程 是 这 样 的 : 先 执行 BEGIN， 然 后 读 取 文件 ， 读 入 有 /n 换行 符 分 割 
的 一 条 记录 ， 然 后 将 记录 按 指定 的 域 分 隔 符 划 分 域 ， 填 充 域 ，$0 则 表示 所 有 域 ，$1 表示 
第 一 个 域 ，$n 表示 第 n 个 域 ， 随 后 开始 执行 模式 所 对 应 的 动作 action。 接 着 继续 依次 读 入 
处 理 后 面 的 记录 ， 直 到 所 有 的 记录 都 读 完 ， 最 后 执行 END 操作 。 
例 3，awk 编程 ， 统 计 用 户 数量 : 


#awk "BEGIN {count=0;print "[start]user count is ", count} 
{count=count+1l;print $0;} END{print "[end]luser count is ", count}' 
testfile 


.( 225 \. 


mm Linux 网 络 操作 系统 项 目 教 程 


count 是 自 定义 变量 。 

action 人 里 可 以 有 多 个 语句 ， 以 :号 隔 开 。 

BEGIN 模块 语句 类 似 循环 的 初始 化 部 分 ， 会 在 处 理 文 件 内 容 前 执行 ， 初 始 化 变量 
count=0， 并 输出 提示 信息 。 

循环 ， 每 次 读 入 一 行内 容 ，count 变量 加 1， 输 出 当前 行 的 内 容 ($0)。 

读 取 完毕 ， 执 行 END 模块 语句 ， 输 出 提示 信息 和 当前 的 count 值 ， 即 一 共有 多 少 行 
(每 个 用 户 一 行 )。 

如 果 翻 译 成 为 程序 ， 大 概 是 这 样 的 : 

int count=07 

输出 开始 执行 的 信息 

while (每 一 行 ) 

{ 





count=count+1; 


输出 每 一 行内 容 
输出 结束 信息 和 count 变量 的 值 


程序 共有 三 大 基础 结构 : 顺序 结构 、 分 支 结构 、 循 环 结构 ， 在 awk 中 都 可 以 支持 。 虽 
然 看 着 可 能 有 点 累 ， 但 是 ， 熟 练 使 用 后 ， 你 会 发 现 你 无 所 不 能 。 

awk 其 实 真 的 是 一 门 编程 语言 ， 具 备 编程 语言 的 所 有 要 素 ， 不 过 掌握 了 这 里 所 讲 的 内 
容 ， 进 行 系统 管理 也 就 基本 够 用 了 。 


3.13 ”日常 管理 中 的 Shell 编程 基础 


3.13.1 Shell 是 什么 以 及 Shell 编程 是 什么 


Shell 是 一 个 特殊 的 应 用 程序 ， 介 于 操作 系统 内 核 与 用 户 之 间 ， 负 责 接受 用 户 输 入 的 操 
作 指 令 (命令 ) 并 进行 解释 ， 将 需要 执行 的 操作 传递 给 内 核 执 行 。 因 此 ，Shell 程序 在 系统 中 
充当 了 一 个 “命令 解释 器 ”的 角色 。 

我 们 登录 CentOS 后 ， 默 认 的 Shell 是 Bash。 有 了 时候， 我 们 看 到 的 名 字 是 sh， 其 实 也 
是 指向 Bash 的 一 个 链接 。 

我 们 可 以 把 要 执行 的 命令 序列 写 在 文件 中 ， 为 它 添加 执行 权限 ， 就 可 以 一 次 执行 所 有 
要 做 的 任务 了 ， 这 样 可 以 节省 大 量 的 精力 ， 提 升 管理 效率 。 

除了 顺序 执行 的 工作 任务 外 ，Shell 编程 也 支持 分 支 结构 和 循环 结构 ， 我 们 可 以 像 语言 
编程 一 样 ， 进 行 Shell 脚本 编程 ， 来 实现 复杂 的 功能 。 

类 似 编程 语言 的 学 习 ，Shell 编程 也 可 以 很 复杂 ， 很 强大 。 幸 好 ， 作 为 日 常 管理 所 需 ， 
通常 只 需要 了 解 Shell 编程 的 基础 知识 ， 就 已 经 可 以 极 大 地 提升 系统 管理 水 平 了 。 


1. Bash 脚本 是 什么 ? 
凡是 使 用 Shell 编程 的 语言 编写 的 程序 都 可 以 称 为 Shell 脚本 ， 通 俗 一 点 说 ， 只 要 将 一 
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些 Linux 命令 按 顺 序 保存 到 一 个 文本 文件 中 ， 并 给 予 这 个 文件 可 执行 权限 ， 那 么 ， 这 个 文 
件 就 可 以 称 为 Shell 脚本 。 
Bash 程序 不 仅 可 以 作为 用 户 管理 Linux 系统 的 命令 操作 环境 ， 同 时 ， 也 可 以 作为 一 种 
优秀 的 脚本 程序 语言 。 
然 ，Shell 脚本 是 为 了 完成 一 定 的 管理 任务 才 创建 的 ， 因 此 ， 脚 本 文件 中 的 各 条 命令 
并 不 是 杂乱 无 章 随便 放置 的 ， 这 就 需要 用 户 来 进行 组 织 和 设计 。 

2. 怎样 编写 Shell 脚本 文件 


使 用 文本 编辑 器 程序 (如 vi 创建 脚本 文件 ， 文 件 名 中 可 以 使 用 扩展 名 (如 “.sh”)， 也 
可 以 不 使 用 扩展 名 ， 并 没有 强制 的 要 求 。 


#vi shelll.sh 


(1) 脚本 文件 中 包括 的 内 容 。 
Q@ 运行 环境 设置 。 
通常 位 于 文件 的 第 一 行 ， 用 户 指定 使 用 哪个 Shell 程序 进行 解释 。 设 置 时 以 “ 夫 ” 开 
后 面 紧 跟 上 指定 的 Shell 程序 的 完成 路 径 。 
例如 ， 编 辑 脚本 文件 的 环境 设置 行 ; 
#!/bin/bash 
@ 注释 行 。 
在 脚本 文件 中 ， 除 了 以 “ 卉 ”开头 的 Shell 环境 设置 行 以 外 ， 其 他 以 “#” 符 号 开头 的 
内 容 将 被 视 为 注释 信息 ， 执 行 脚本 时 将 予以 忽略 。 

编写 脚本 程序 时 ， 添 加 必要 的 注释 语句 是 一 个 良好 的 习惯 ， 这 样 将 大 大 增强 脚本 文件 
的 易 读 性 ， 方 便 在 不 同时 间 、 不 同 用 户 间 交流 使 用 。 

例如 ， 编 辑 注释 行 : 

# 任 意 注释 信息 

@ 可 执行 语句 。 

可 执行 语句 是 Shell 脚本 程序 中 最 重要 的 组 成 部 分 ， 在 命令 行 操作 界面 中 ， 可 以 执行 
的 命令 都 可 以 写 入 到 脚本 中 ， 程 序 运行 时 ， 默 认 情况 下 将 会 按照 顺序 依次 解释 执行 。 

除 此 以 外 ， 还 可 以 添加 一 些 程序 结构 控制 语句 ， 通 过 灵活 控制 执行 过 程 ， 提 高 程序 执 
行 效 率 ， 完 成 更 复杂 的 管理 任务 。 

例如 ， 使 用 vi 编辑 器 编写 一 个 简单 的 Shell 脚本 文件 tshl.sh， 然 后 查看 家 目录 下 的 文 
件 信 息 : 


#vi tshl.sh 
#cat tshl.sh 
#!/bin/bash 
ss ek 








I 
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程序 说 明 如 下 。 

vitshl.sh 编辑 建立 tshl.sh 文件 。 

文件 第 一 行 是 默认 设 定语 句 ， 通 常 每 个 脚本 文件 都 要 这 么 写 。 

脚本 就 一 句 话 ， 执 行 ls 命令 查看 家 目录 下 的 文件 ，~ 表 示 用 户 的 家 目录 ，root 用 户 的 
家 目录 是 /root， 其 他 用 户 的 家 目录 是 /home/ 用 户 名 。 

(2) 如 何 执行 Shell 脚本 ? 

Q@ 直接 执行 带 x 权限 的 脚本 文件 。 

为 脚本 文件 设置 了 可 执行 属性 后 ， 在 Shell 命令 行 中 ， 可 以 直接 通过 脚本 文件 的 路 径 
执行 脚本 程序 ， 这 也 是 最 常用 的 一 种 方式 。 

例如 ， 为 脚本 文件 tshl.sh 添加 可 执行 权限 并 执行 ，a 表示 所 有 用 户 ，x 是 执行 权限 : 


Sl tol sh 
#chmod a+x tshl.sh 


#./tshl.sh 
执行 时 需要 在 文件 名 之 前 加 入 “./” 路 径 ， 明 确 需 要 执行 当前 目录 下 的 脚本 文件 ， 这 
种 方法 也 是 出 于 对 系统 安全 性 的 考虑 。 


当 执 行 命令 时 ，bash 会 查看 系统 环境 变量 PATH 的 设置 ， 按 照 路 径 的 排列 顺序 依次 搜 
索 你 要 执行 的 命令 ， 为 了 防止 误 执 行 别 的 同名 命令 ， 通 常 ， 路 径 是 必须 加 上 的 。 

“./” 中 的 “.” 表 示 用 户 所 在 的 当前 目录 ， 这 是 相对 文件 路 径 的 表示 方法 。 你 也 可 以 
使 用 绝对 路 径 ， 比 如 /roottsh1.sh， 从 /( 根 目录 ) 开 始 的 路 径 就 是 绝对 路 径 。 

@ 使 用 Shell 解释 器 程序 执行 脚本 。 

这 种 方式 可 以 将 脚本 文件 作为 指定 Shell 解释 器 程序 (如 bash、sh 等 ) 的 参数 ， 由 解释 
器 程序 负责 读 取 脚 本 文件 中 的 内 容 并 执行 ， 这 种 方法 并 不 需要 脚本 文件 具有 可 执行 属性 。 
此 方法 通常 只 在 脚本 的 调试 阶段 使 用 。 

例如 ， 使 用 解释 器 直接 执行 脚本 文件 : 

#sh tshl.sh 

#bash tshl.sh 

@ 使 用 “.” 命 令 或 者 source 命令 执行 脚本 。 

使 用 Shell 解释 器 程序 (如 bash) 执 行 指定 脚本 文件 时 ， 是 在 当前 Shell 中 启动 一 个 子 
Shell 来 运行 脚本 程序 ， 因 此 脚本 程序 中 定义 的 环境 变量 只 能 在 子 Shell 环境 中 使 用 ， 而 无 
法 在 用 户 当 前 的 Shell 环境 中 使 用 。 

使 用 Bash 的 内 部 命令 “.”( 或 使 用 source 命令 ， 其 作用 相同 ) 加 载 指定 的 脚本 文件 并 
执行 时 ， 系 统 将 不 会 开启 新 的 Shell 环境 。 使 用 这 种 方式 时 ， 脚 本 文件 作为 “.” 命 令 的 参 
数 ， 因 此 同样 不 要 求 脚本 文件 具备 x 权限 。 

如 在 修改 完 “/etc/profile” 文 件 以 后 ， 可 以 执行 “. /etc/profile” 命 令 ， 使 得 在 文件 中 新 
设置 的 变量 立即 生效 ， 而 无 需 重 新 登录 。 
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例如 ， 使 用 “.” 或 者 source 命令 执行 脚本 文件 : 


#. 七 s612SR 
#source 七 shl .sh 


3.13.2 ”必须 了 解 的 Shell 编程 基础 


1. Shell 变量 


在 各 种 Shell 程序 环境 中 ， 都 使 用 到 了 “Shell 变量 ”的 概念 ，Shell 变量 用 于 保存 系统 
和 用 户 需 要 使 用 的 特定 参数 ( 值 )， 而 且 这 些 参数 可 以 根据 用 户 的 设 定 或 系统 环境 的 变化 而 
相应 变化 ， 通 过 使 用 变量 ，Shell 程序 能 够 提供 更 加 灵活 的 功能 ， 适 应 性 更 强 。 

常见 的 Shell 变量 的 类 型 包括 用 户 自 定义 变量 、 环 境 变量 、 预 定义 编译 、 位 置 变 量 。 

(1) 用 户 自 定义 变量 。 

用 户 自 定义 变量 是 由 系统 用 户 自 己 定义 的 变量 ， 只 在 用 户 自己 的 Shell 环境 中 有 效 ， 
因此 又 称 为 本 地 变量 。 

在 编写 Shell 脚本 程序 时 ， 通 常会 需要 设置 一 些 特定 的 自 定义 变量 ， 以 适应 程序 执行 
过 程 中 的 各 种 变化 ， 满 足 不 同 的 需要 。 

Q@ 变量 定义 。 

Bash 中 的 变量 操作 相对 比较 简单 ， 没 有 其 他 高 级 编程 语言 (如 C/C++、Java 等 ) 那 么 复 
杂 ， 在 定义 一 个 新 的 变量 时 ， 一 般 不 需要 提前 声明 ， 而 是 直接 指定 变量 名 及 初始 值 (内 容 ) 
即 可 ， 定 义 变量 操作 的 基本 格式 如 下 。 

格式 : 变量 名 = 变量 值 

(注意 : 等 号 两 边 都 没有 空格 ) 

例如 ， 定 义 变量 TITLE， 值 是 Sir: 

#TITLE=Sir 

@ 查看 及 引用 变量 的 值 。 

例 1， 输 出 变量 TITLE 的 值 : 


#echo $TITLE 
引用 变量 ， 在 变量 名 前 加 一 个 “$” 


例 2， 变 量 TITLE 的 内 容 后 紧 跟 Liuxuegong 字符 串 并 一 起 显示 : 


#echo ${TITLE}Liuxuegong 





不 能 写成 echo $STITLELiuxuegong， 否 则 会 把 TITLELiuxuegong 当 作 是 一 个 变量 名 来 
处 理 。 

当 变 量 名 称 容易 和 紧 跟 其 后 的 其 他 字符 相 混淆 时 ， 需 要 添加 大 括号 将 其 包围 起 来 ， 
否则 将 无 法 确定 正确 的 变量 名 称 。 

@ ”为 变量 赋值 的 方法 。 

在 等 号 “=” 后边 直接 指定 变量 内 容 ， 是 为 变量 赋值 的 最 基本 方法 ， 除 此 以 外 ， 管 理 
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员 通 常 还 会 使 用 到 其 他 的 一 些 赋值 操作 ， 从 而 使 变量 内 容 获 取 更 加 灵活 多 变 ， 以 便 适用 于 
各 种 复杂 的 系统 管理 任务 。 

常用 的 几 种 变量 赋值 操作 包括 双 引 号 、 单 引号 、 反 撤 号 、read 命令 。 

双 引 号 (“”): 使 用 双 引 号 时 ， 人 允许 在 双 引 号 的 范围 使 用 $ 符 号 ， 来 引用 其 他 变量 的 值 ( 变 
量 引 用 )。 在 简单 的 赋值 操作 中 ， 双 引号 有 时 候 可 以 省 略 。 

单 引 号 (“): 使 用 单 引号 时 ， 将 不 允许 在 单 引 号 的 范围 内 引用 其 他 变量 的 值 ，$ 符 号 或 
者 其 他 任务 将 作为 普通 字符 看 待 。 

反 撒 号 (): 位 于 键盘 左上 角 Esc 按键 下 方 。 使 用 反 撤 号 时 ， 人 允许 将 执行 特定 命令 的 输 
出 结果 赋 给 变量 (命令 葵 换 )， 反 撤 号 内 包含 的 字 串 必须 是 能 够 执行 的 命令 ， 执 行 后 会 用 输 
出 结果 ， 蔡 换 该 命令 字 串 。 

read 命令 : 除了 上 述 赋值 操作 以 外 ， 还 可 以 使 用 Bash 的 内 置 命令 read 来 给 变量 赋 
值 。read 命令 可 以 从 终端 (键盘 ) 读 取 输 入 ， 实 现 简单 的 交换 过 程 。read 将 从 标准 输入 读 入 
一 行内 容 ， 并 以 空格 为 分 隔 符 ， 将 读 入 的 各 字段 分 别 赋值 给 指定 列表 中 的 变量 (多 余 的 内 容 
赋值 给 最 后 一 个 变量 )。 若 指定 的 变量 只 有 一 个 ， 则 将 赋值 内 容 赋 值 给 该 变量 。 

为 了 使 交互 式 操作 的 界面 更 加 友好 ， 提 高 易 用 性 ，read 命令 可 以 结合 “-p” 选 项 来 设 
置 提示 信息 ， 用 于 告知 用 户 应 该 输入 的 内 容 等 相关 事项 。 

@ 设置 变量 的 作用 范围 。 

对 于 用 户 自行 定义 的 变量 ， 默 认 情 况 下 只 能 在 当前 的 Shell 环境 中 使 用 ， 因 此 称 为 局 
部 变量 。 

为 了 使 用 户 定义 的 变量 在 所 有 的 子 Shell 环境 中 能 够 继续 使 用 ， 减 少 重复 设置 工作 ， 
可 以 使 用 export 命令 将 指定 的 变量 设置 为 “全 局 变量 ”。 

export 命令 可 以 同时 使 用 多 个 变量 名 作为 参数 ， 变 量 名 之 间 以 空格 分 隔 。 


#export TITLE 


export 命令 还 可 以 在 输出 变量 的 同时 ， 对 指定 名 称 的 变量 进程 赋值 (创建 )， 这 样 ， 在 
使 用 export 命令 之 前 就 不 需要 单独 为 变量 进行 赋值 了 。 

例如 ， 定 义 两 个 变量 TITLE 和 Sex， 并 将 其 设置 为 全 局 变量 : 

#export TITLE=Sir SEX=Male 

@ ”清除 自 定义 变量 。 

当 用 户 不 再 需要 使 用 定义 变量 时 ， 可 使 用 unset 命令 对 已 定义 的 用 户 变 量 清除 : 


#unset TITLE SEX 


(2) 环境 变量 。 

环境 变量 是 指 用 户 登 录 后 Linux 系统 预先 设 定 好 的 一 类 Shell 变量 ， 其 功能 是 设置 用 
户 的 工作 环境 ， 包 括 用 户 宿主 目录 、 命 令 查 看 路 径 、 用 户 当前 目录 、 登 录 终端 等 ， 在 实际 
使 用 过 程 中 ， 环 境 变量 并 没有 严格 的 区 分 和 定义 ， 用 户 自己 设置 的 变量 也 可 以 作为 环境 变 
量 使 用 。 
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环境 变量 的 名 称 比较 固定 ， 通 常 使 用 大 写字 母 、 数 字 和 其 他 字符 组 成 ， 而 不 使 用 小 写 








字母 。 环 境 变量 的 值 一 般 由 Linux 系统 自行 维护 ， 会 随 着 








户 状 态 的 改变 而 改变 ， 用 户 可 





以 通过 读 取 环境 变量 来 了 解 自己 当前 的 环境 。 
例 1， 查 看 环境 变量 : 
#set 
例 2， 
#set 
例 3， 
#set 
例 4， 
#set 
例 5， 
#set 
例 6， 添 加 /root/bin 到 系统 变量 PATH 搜索 路 径 中 : 


#PATH=$PATH: /root/bin 


more 
查看 当前 用 户 : 
grep USER 
查看 当前 语言 设置 : 
grep LANG 

查看 当前 目录 : 
grep PWD 
查看 路 径 搜 索 设置 : 


grep PATH 





在 Linux 系统 中 ， 用 户 环境 变量 的 设置 工作 习惯 上 在 “/etc/profile” 文 件 及 用 户 宿主 目 
录 中 的 “.bash_profile” 文 件 中 进行 ， 前 者 称 为 全 局 配置 文件 (对 所 有 用 户 起 作用 )， 后 者 称 


为 用 户 配置 文件 (允许 覆盖 全 局 配置 )。 


#cat /etc/profilelmore 
#cat ~/.bash profilelmore 


(3) 位 置 变量 。 


当 脚 本 程序 执行 时 ， 可 以 添加 命令 行 参 数 。 脚 本 程序 中 ， 可 以 通过 位 置 变 量 来 获取 引 


用 这 些 参数 。 
位 置 变量 的 形式 是 SN， 定 义 如 表 3-15 所 示 。 
表 3-15 位 置 变量 说 明 














位 置 变量 变量 说 明 
$0 脚本 的 名 称 
$1,92,93.... 第 一 个 参数 ， 第 二 个 参数 ， 第 三 个 参数 
Shift 每 Shift 一 次 ， 参 数位 置 往 前 一 个 
Shift N 往 前 移动 N 个 
例如 : 


veot 


(3. 
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此 时 ， 位 置 变量 的 值 是 : 

$0 是 1]s。 

$1 是 -1。 

$2 是 -a。 

$3 是 /root。 

此 外 ， 脚 本 中 每 执行 Shift 命令 一 次 ， 参 数 就 往 前 移动 一 位 ，$1=$2，$2=$3…… 

通常 ， 在 循环 中 使 用 Shift 来 循环 处 理 命令 参数 。 

(4) 预定 义 变量 。 

预定 义 变量 是 由 Bash 程序 预先 定义 好 的 一 些 特殊 变量 。 用 户 只 能 使 用 预定 义 变量 ， 
而 不 能 创建 新 的 预定 义 变量 ， 或 直接 修改 预定 义 变量 赋值 。 所 有 的 预定 义 变量 都 是 由 $ 符 
号 和 另 一 个 符号 组 成 的 ， 较 常用 的 Shell 预定 义 变量 包括 以 下 这 些 。 

$#: 表示 命令 行 中 位 置 参数 的 数量 。 

$*， 表示 所 有 位 置 参数 的 内 容 。 

$?; 表示 命令 执行 后 返回 的 状态 ， 用 户 检查 上 一 个 命令 的 执行 是 否 正确 。 在 Linux 
中 ， 命 令 返 回 状态 为 0 表示 命令 执行 正确 ， 任 何 非 0 值 的 表示 命令 执行 错误 。 

$$: 表示 当前 进程 的 进程 号 。 

$!: 表示 后 台 运行 的 最 后 一 个 进程 的 进程 号 。 

$0: 表示 当前 执行 的 进程 的 进程 名 。 

预定 义 变量 通常 使 用 在 Shell 脚本 程序 中 。 





3.13.3 ”Shell 编程 入 门 技巧 


程序 设计 的 三 大 基础 结构 是 顺序 结构 、 分 支 结构 、 循 环 结构 。 顺 序 结构 下 ， 程 序 依次 
执行 ， 就 可 以 解决 很 多 的 日 常任 务 了 。 

有 时 候 ， 需 要 根据 环境 不 同 ， 采 取 不 同 的 应 对 策略 ， 这 就 需要 分 支 结 构 来 实现 。 最 常 
用 的 分 支 结构 就 是 if 语句 ， 通 过 条 件 判断 ， 如 果 条 件 为 真 ， 执 行 一 个 分 支 ; 如 果 条 件 为 
假 ， 就 执行 另 一 个 分 支 。 

在 Shell 脚本 中 执行 使 用 站 语 句 的 好 处 是 :可 以 根据 特定 的 条 件 (例如 判断 备份 目录 是 
否 存 在 ) 来 决定 是 否 执 行 某 项 操作 ， 或 者 当 满 足 不 同 的 条 件 时 ， 执 行 不 同 的 操作 (例如 备份 
目录 不 存在 则 创建 该 目录 ， 否 则 跳 过 操作 )。 

1. 条 件 测试 操作 


需要 在 Shell 脚本 中 有 选择 性 地 执行 任务 时 ， 首 先 面临 的 问题 就 是 ， 如 何 设置 命令 执 
行 的 条 件 ? 

在 Shell 环境 中 ， 可 以 根据 命令 执行 后 的 返回 状态 值 来 判断 该 命令 是 否 成 功 执行 ， 当 
返回 值 为 0 时 ， 表 示 成 功 执行 ， 否 则 ( 非 0 值 ) 表 示 执 行 失败 。 用 于 特定 条 件 表达 式 的 测试 
时 ， 可 以 使 用 Linux 系统 中 提供 的 test 命令 。 
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使 用 test 测试 命令 时 ， 可 以 有 以 下 两 种 形式 : 

test 条 件 表 达 式 

[ 条 件 表达 式 ] 

这 两 种 方式 的 作用 完全 相同 ， 但 通常 后 一 种 形式 更 为 常用 ， 也 更 贴近 编程 习惯 。 需 要 
注意 的 是 ， 方 括号 “[” 或 者 “]” 与 条 件 表达 式 语 句 之 间 至 少 需要 有 一 个 空格 进行 分 隔 。 

根据 需要 判断 的 条 件 内 容 不 同 ， 条 件 操作 也 不 同 ， 最 常用 的 条 件 主要 包括 文件 状态 测 
试 ， 比 较 整 数值 大 小 ， 比 较 字符 串 ， 以 及 同时 判断 多 个 条 件 时 的 逻辑 关系 。 

(1) 测试 文件 状态 。 

文件 状态 测试 是 指 根据 给 定 的 路 径 名 称 ， 判 断 该 名 称 对 应 的 是 文件 还 是 目录 ， 或 者 判 
断 文件 是 否 可 读 、 可 写 、 可 执行 等 。 根 据 判断 的 状态 不 同 ， 在 条 件 表达 式 中 需要 使 用 不 同 
的 操作 选项 。 

-d: 测试 是 否 为 目录 (Directory)。 

-e: 测试 目录 或 文件 是 否 存 在 (Exist)。 

-f 测试 是 否 为 文件 (File)。 

-I: 测试 当前 用 户 是 否 有 权限 读 取 (Read)。 

-w: 测试 当前 用 户 是 否 有 权限 写 入 (Write)。 

-x: 测试 当前 用 户 是 否 可 执行 (Execute) 该 文件 。 

-L: 测试 是 否 为 符号 连接 (Link) 文 件 。 

执行 条 件 测试 操作 以 后 ， 通 过 预定 义 变量 “$?” 可 以 获得 测试 命令 的 返回 状态 值 ， 从 
而 能 够 判断 该 条 件 是 否 成 立 (返回 0 值 表示 条 件 成 立 ， 非 0 值 表示 条 件 不 成 立 )。 但 通过 这 
种 方式 查看 测试 结果 会 比较 繁琐 。 

例 1， 测 试 “/etc/hosts” 是 否 是 文件 ， 并 通过 “5$?” 变 量 查看 返回 状态 值 ， 据 此 判断 
测试 结果 : 

#[ = 上 /etc/hosts ] 

#echo $2? 

返回 值 为 0， 表 示 上 一 步 测试 的 条 件 成 立 。 

例 2， 测 试 “/media/cdrom/Server” 及 其 父 目 录 是 否 存在 ， 如 果 存 在 ， 则 显示 YES， 否 
则 不 输出 任何 信息 : 


#[ -e /media/cdrom/Server ] && echo "YES" 


无 输出 表示 该 目录 不 存在 。 

#[ -e /media/cdrom ] && echo "YES" 

命令 说 明 : 

&&&& 表 示 逻 辑 与 ，|| 表 示人 逻辑 或 。 逻 辑 与 当 两 个 条 件 都 为 真 时 结果 才 是 真 ， 有 一 个 为 假 
即 为 假 ， 逻 辑 或 当 两 个 条 件 都 为 假 时 结果 才 是 假 ， 有 一 个 为 真 结果 就 是 真 。 

逻辑 与 和 逻辑 或 都 有 “短路 ”特性 。 对 于 逻辑 与 ， 如 果 第 一 个 条 件 就 不 满足 ， 那 么 第 
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二 个 条 件 就 不 用 测试 ， 因 为 结果 肯定 是 假 。 命 令 中 测试 如 果 为 假 ， 后 面 的 命令 就 不 会 执 
行 。 这 就 实现 了 两 个 分 支 。 

(2) 整数 值 比较 。 

整数 值 比较 是 指 根据 给 定 的 两 个 整数 值 ， 判 断 第 一 个 数 是 否 大 于 、 等 于 、 小 于 第 2 个 
数 ， 可 以 使 用 的 操作 选项 如 下 。 

-eq: 第 一 个 数 等 于 (Equal) 第 二 个 数 。 

-ne: 第 一 个 数 不 等 于 (Not Equal) 第 二 个 数 。 

-gt: 第 一 个 数 大 于 (Greater Than) 第 二 个 数 。 

-lt: 第 一 个 数 小 于 (Lesser Than) 第 二 个 数 。 

-le: 第 一 个 数 小 于 或 等 于 (Lesser or Equal) 第 二 个 数 。 

-ge: 第 一 个 数 大 于 或 等 于 (Greater or Equal) 第 二 个 数 。 

整数 值 比较 的 测试 操作 在 Shell 脚本 编写 中 的 应 用 较 多 ， 如 用 于 判断 磁盘 使 用 率 、 登 
录用 户 数量 是 否 超标 以 及 用 于 控制 脚本 语句 的 循环 次 数 等 。 

例如 ， 测 试 当前 登录 到 系统 中 的 用 户 数量 是 否 小 于 或 等 于 10， 是 则 输出 YES: 


#who | wc -1 


: 说 明 当 前 有 3 个 用 户 登 录 到 系统 

#[ ‘who | wc -1. -le 10 ] && echo "YES" 

命令 中 使 用 的 是 反 撤 号 ， 会 把 执行 的 结果 蔡 换 到 此 位 置 。 刚 才 执 行 时 看 到 结果 是 3， 
这 样 命令 测试 的 就 是 3<=10， 结 果 当 然 是 真 。 当 第 一 个 条 件 值 为 真 时 ， 继 续 执行 后 面 的 命 
令 ， 输 出 YES。 

(3) 字符 串 比较 。 

字符 串 比 较 可 以 用 于 检查 用 户 输入 ， 比 如 在 提供 交互 式 操作 时 ， 判 断 用 户 输入 的 选项 
是 否 与 指定 的 变量 内 容 相 匹配 。“=”、“!=” 操 作 选 项 分 别 表示 匹配 、 不 匹配 。“-z” 
作 选 项 用 于 检查 字符 串 是 否 为 空 。 其 中 ，“!” 符 号 用 于 取 反 ， 表 示 相 反 的 意思 。 

例 1， 提 示 用 户 输入 一 个 字符 串 ， 并 判断 是 否 是 “test”， 如 果 是 则 显示 “YES”: 


#read -p "Location: " Vartest 
Location: 
输入 “test” 然 后 按 Enter 键 
read 命令 接收 用 户 输入 ， 后 面 -p 参数 是 输出 提示 信息 ， 
vartest 是 接收 用 户 输入 信息 的 本 地 变量 
#[ $vartest = "test" ] && echo "YES" 
测试 输入 到 vartest 的 值 是 不 是 “test”， 如 果 为 真 ， 就 输出 “YES” 
例 2， 若 当前 环境 变量 LANG 的 内 容 不 是 “en.US”， 则 输出 LANG 变量 的 值 ， 否 则 
无 输出 : 


[ $LANG != "en.US" ] && echo $LANG 
例 3， 使 用 touch 命令 建立 一 个 新 文件 ， 测 试 其 内 容 是 否 为 空 ， 向 文件 中 写 入 内 容 
后 ， 再 次 进行 测试 : 
(3. 
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#touch testfile 

#[ -z ‘cat testfile”] && echo "yes" 
#echo "something"> testfile 

#[ -z ‘cat testfile”] && echo "yes" 


命令 说 明 : 
touch 命令 当 文 件 不 存在 时 创建 文件 ， 文 件 已 存在 时 更 新 文件 信息 。 
"cat zero.file` 使 用 的 反 撤 号 ， 会 把 文件 内 容 蔡 换 到 所 在 位 置 进 行 测试 。 
因为 touch 建立 文件 时 ， 内 容 为 空 ， 使 用 -z 测试 ， 结 果 自 然 为 真 。 

使 用 echo 命令 把 内 容 存储 到 文件 中 ， 文 件 就 不 再 是 空 文件 了 。 

再 执行 测试 ， 结 果 为 假 。 

(4) 逻辑 测试 。 

逻辑 测试 是 指 同时 使 用 的 两 个 (或 多 个 ) 条 件 表达 式 之 间 的 关系 。 用 户 可 以 同时 测试 多 
个 条 件 ， 根 据 这 些 条 件 是 否 同 时 成 立 或 者 只 要 有 其 中 一 个 条 件 成 立 等 情况 ， 来 决定 采取 何 
种 操作 。 人 逻辑 测试 可 以 使 用 的 操作 选项 如 下 。 

&&: 逻辑 与 ， 表 示 前 后 两 个 表达 式 都 成 立时 整个 测试 结果 才 为 真 ， 否 则 结果 为 假 。 
在 使 用 test 命令 形式 进行 测试 时 ， 此 选项 可 以 改 为 “-a”。 

|: 逻辑 或 ， 表 示 前 后 两 个 条 件 至 少 有 一 个 成 立时 ， 整 个 测试 结果 才 为 真 ， 否 则 结果 为 
假 。 在 使 用 test 命令 形式 测试 时 ， 此 选项 可 以 改 为 “-o”。 

!: 逻辑 否 ， 表 示 当 指定 的 条 件 表达 式 不 成 立时 ， 整 个 测试 命令 的 结果 为 真 。 

在 上 述 逻 辑 测 试 的 操作 选项 中 ，&& 和 || 通 常 也 用 于 间隔 不 同 的 命令 操作 ， 其 作用 是 相 
似 的。 同时 使 用 多 个 逻辑 运算 操作 时 ， 一 般 按照 从 左 到 右 的 顺序 进行 测试 。 

逻辑 与 和 逻辑 或 都 有 “短路 ”特性 。 对 于 逻辑 与 &&， 如 果 第 一 个 条 件 就 不 满足 ， 那 
么 第 二 个 条 件 就 不 用 测试 ， 因 为 结果 肯定 是 假 。 对 于 逻辑 或 |， 如 果 第 一 个 条 件 就 满足 ， 那 
么 第 二 个 条 件 就 不 用 测试 ， 因 为 结果 肯定 是 真 。 此 时 ， 后 面 的 条 件 就 不 需要 执行 ， 直 接 跳 

例 1， 测 试 当前 的 用 户 是 否 是 liuxuegong， 若 不 是 ， 则 提示 “Not liuxuegong”: 

#echo $USER 

#[ $USER="liuxuegong" ] || echo "Not liuxuegong" 

| 是 逻辑 或 ， 如 果 系 统 变量 USER 的 值 为 liuxuegong， 即 当前 使 用 liuxuegong 登录 操作 
的 话 ， 条 件 为 真 时 ， 由 于 短路 特性 ， 后 面 的 输出 语句 将 不 会 执行 。 如 果 当 前 是 root 或 者 其 
他 用 户 登录 ， 前 面 测试 为 假 ， 后 面 的 输出 语句 才 会 执行 。 

例 2， 只 要 /etc/inittab 或 者 /etc/hostname 中 有 一 个 是 文件 ， 则 显示 “YES”， 和 否则 无 任 
何 输出 : 

#[ -f£f /etc/inittab ] || [ -f /etc/hostname ] && echo "yes" 

-了 测试 是 否 是 文件 ，|| 是 逻辑 或 ， 表 示 两 个 测试 只 要 有 一 个 为 真 ， 结 果 就 是 真 ，&&& 是 
逻辑 与 ， 当 前 面 的 条 件 为 真 时 ， 后 面 的 命令 才 会 执行 。 如 果 && 前 面 结果 为 假 ， 则 按照 短 
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路 特性 ， 后 面 语句 将 不 会 执行 。 
例 3， 测 试 /etc/profile 文件 是 否 有 可 执行 权限 ， 若 确实 没有 可 执行 权限 ， 则 提示 “Not 
Execute” 的 信息 : 


#[ ! -x "/etc/profile" ] && echo "Not Execute" 


-x 测试 是 否 有 执行 权限 ， 要 查看 权限 ， 可 以 使 用 “ls -1” 命 令 。 前 面 的 “!” 是 逻辑 
否 ， 如 果 有 执行 权限 ， 否 之 后 就 是 假 ， 直 接 短路 ， 不 会 输出 信息 如果 没 有 执行 权限 ， 本 
来 是 假 ， 否 之 后 变 为 真 ， 后 面 的 输出 语句 才 会 执行 。 

例 4， 若 当前 的 用 户 是 root 且 使 用 的 Shell 程序 是 /bin/bash， 则 显 “YES”， 否 则 无 任 
何 输出 : 

#echo $USER $SHELL 

#[ $USER="root" ] && [ $SHELL="/bin/bash" ] && echo "yes" 

USER 和 SHELL 是 系统 环境 变量 ， 自 动 赋值 ， 如 果 当 前 是 root 登录 ， 并 且 默 认 登录 
Shell 是 bash， 则 输出 YES。 


2.， jif 语 句 


使 用 && 和 | 逻辑 测试 ， 可 以 完成 简单 的 判断 并 执行 相应 的 操作 ， 但 是 ， 当 需要 选择 执 
行 的 命令 语句 较 多 时 ， 再 使 用 这 种 方式 将 使 命令 行 语句 显得 很 复杂 ， 难 以 阅读 。 此 时 ， 使 
用 站 语句 ， 则 可 以 更 好 地 体现 有 选择 性 执行 的 程序 结构 ， 使 得 层次 更 加 分 明 ， 清 晰 易 懂 。 
让 语句 的 选择 结构 由 易 到 难 可 以 分 为 三 种 类 型 ， 分 别 适 用 于 不 同 的 应 用 场合 。 

(1) 单 分 支 的 让 语句 。 

单 分 支 的 让 语句 是 最 简单 的 选择 结构 ， 这 种 结果 只 判断 指定 的 条 件 ， 当 “条 件 成 立 ” 
执行 相应 的 操作 ， 和 否则 不 做 任何 操作 。 单 分 支 使 用 的 语句 格式 如 下 : 

if 条 件 测试 命令 

then 

命令 序列 


二 下 

在 上 述 语句 中 ， 首 先 通过 判断 条 件 测试 命令 的 返回 状态 值 是 否 为 0( 条 件 成 立 )， 如 果 
是 ， 则 执行 then 后 面 的 一 条 或 多 台 可 执行 语句 (命令 序列 )， 一 直到 fi 为 止 表 示 结 束 ， 如 果 
条 件 测试 命令 的 返回 值 不 为 0( 条 件 不 成 立 )， 则 直接 去 执行 一 后面 的 语句 。 

(2) 双 分 支 的 站 语句 。 

双 分 支 的 计 语句 使 用 了 两 路 命令 操作 ， 在 “条 件 成 立 ”、“ 条 件 不 成 立 ” 时 分 别 执行 
不 同 的 命令 序列 。 双 分 支 使 用 的 语句 格式 如 下 : 

if 条 件 测试 命令 


then 
命令 序列 1 


else 


命令 序列 2 
于 二 

















如 
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上 述 语句 首先 通过 让 判断 条 件 测试 命令 的 返回 状态 值 是 否 为 0( 条 件 成 立 )， 如 果 是 
真 ， 则 执行 then 后 面 的 一 条 或 多 条 可 执行 语句 (命令 序列 1)， 然 后 跳 转 至 下 结束 ， 如 果 条 
件 测试 命令 的 返回 状态 值 不 为 0( 条 件 不 成 立 )， 则 执行 else 后 面 的 语句 ， 一 直到 二 结束 。 

(3) 多 分 支 的 让 语句 。 

由 于 站 语句 可 以 根据 条 件 测试 命令 的 两 种 状态 分 别 进行 操作 ， 所 以 能 够 柑 套 使 用 ， 进 
行 多 次 判断 (如 首先 判断 某 学 生 的 得 分 是 否 大 于 等 于 60 分 ， 如 及 格 ， 则 再 次 判断 是 否 高 于 
85 分 )。 多 重 分 支 使 用 的 语句 格式 如 下 : 

if 条 件 测试 命令 1 

then 

命令 序列 1 

elif 条 件 测试 命令 2 

then 

命令 序列 2 


else 


命令 序列 3 
到 


上 面 的 语法 格式 中 只 嵌 套 了 一 个 elif 语句 。 实 际 上 ,让 语句 中 可 以 嵌 套 多 个 elif 语 
句 。 让 语句 的 媒 套 在 编写 Shell 脚本 时 并 不 常用 ， 因 为 多 重 嵌 套 容易 使 程序 结构 变 得 复杂 。 
需要 使 用 多 重 分 支 程序 结构 时 ， 更 多 的 是 使 用 case 语句 来 实现 。 

例 1， 检 查 /etc/passwd 文件 是 否 存在 ， 若 存在 ， 则 统计 文件 内 容 的 行 数 并 输出 ， 否 则 
不 做 任何 操作 : 

#vi testl.sh 

#cat testl.sh 

#!/bin/bash 

File="/etc/passwd" 

EE = al > thon 


wc -1 $File 
中 





























#sh test1.sh 


程序 说 明 : 

建立 脚本 文件 testl.sh， 在 文件 中 输入 相关 的 命令 。 

#!/bin/bash 是 脚本 文件 固定 的 第 一 句 话 ， 表 示 这 是 一 个 Shell 脚本 ， 使 用 bash 执行 。 

让 条 件 后 ，then 要 另 起 一 行 ， 通 常 为 了 美观 工整 的 考虑 ， 会 在 条 件 后 加 上 分 号 “:” 然 
后 写 在 一 行 。“:” 是 在 一 行书 写 多 条 语句 的 分 隔 符 。 

wc -1 命令 测试 文件 内 容 的 行 数 。 

编写 完成 后 ， 保 存 并 退出 ， 用 “sh 脚本 名 称 ” 来 执行 。sh 是 bash 的 符号 链接 ， 此 
时 ，testl.sh 脚本 不 需要 有 执行 权限 即 可 执行 。 如 果 给 脚本 赋予 执行 权限 ， 则 可 直接 执行 。 


#chmod +x testl.sh 
#./testl.sh 


:(237\. 


© 半生 条 亲 统 项 占 必 和 


关于 脚本 执行 ， 后 续 所 有 脚本 都 是 如 此 ， 不 再 重复 说 明 。 

例 2， 提 示 用 户 指定 备份 目录 的 路 径 ， 若 目录 已 存在 ， 则 显示 提示 信息 后 跳 过 ， 否 则 
显示 相应 提示 信息 后 创建 该 目录 : 

#vi test2.sh 


#cat test2.sh 
#!/bin/bash 


read -p "Input you backup Directory:" bd 
if [ -d $bd ] ; then 

echo "$bd already exist." 

else 

echo "$bd is not exist,will make it." 
mkdir $bd 

i 

程序 说 明 : 


创建 test2.sh 脚本 文件 ， 首 行 固定 内 容 ， 是 #l/bin/bash。 

read 接收 用 户 输 入 的 信息 给 本 地 变量 bd。 

如 果 目 录 已 经 存在 ， 输 出 提示 信息 ， 然 后 不 需要 做 什么 。 

如 果 目 录 不 存在 ， 输 出 信息 ， 并 使 用 mkdir 创建 目录 。 

例 3， 统 计 当前 登录 到 系统 中 的 用 户 数量 ， 并 判断 是 否 超过 三 个 ， 若 是 ， 则 显示 实际 
数量 并 给 出 警告 信息 ， 否 则 列 出 登录 的 用 户 账号 名 称 及 所 在 终端 : 


#vi test3.sh 
#cat test3.sh 
#!/bin/bash 


UserNum= 


who |wc -1° 


if [ $UserNum -gt 3 ] ; then 
echo "Alert, User Total: $UserNum )." 


else 

echo "Login users:" 

who | awk '{print $1,$2}" 
二 

程序 说 明 : 

创建 脚本 文件 test3.sh。 


who 命令 显示 登录 到 系统 的 用 户 信息 ，we -1 统计 行 数 ， 即 有 几 个 用 户 。 
使 用 反 撒 号 代 换 ， 把 统计 结果 蔡 换 到 位 置 上 ， 赋 值 给 变量 UserNum。 
如 果 用 户 数 大 于 3， 输 出 用 户 数 警告 。 


如 果 不 大 了 


F 3， 显 示 登 录用 户 信息 ， 使 用 awk 命令 从 用 户 信息 中 取出 前 两 个 区 域 字 段 





显示 出 来 。 
例 4， 每 隔 5 分 钟 监测 一 次 MariaDB 服务 程序 的 运行 状态 ， 若 发 现 MariaDB 进程 已 终 
止 ， 则 在 /var/log/messages 文件 中 追加 写 入 日 志 信息 (包括 当时 时 间 )， 并 重启 MariaDB 服 
务 ， 和 否则 不 进行 任何 操作 : 
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项 目 三 服务 器 的 日 常 管理 和 运 维 全 


#vi test4.sh 

#cat test4.sh 

#!/bin/bash 

if [ ‘ps auxlgrep mariadblwc -1. -lt 2 ]; then 

echo "At time: ‘date. :mariadb Server is down.">> /var/log/messages 

Systemct1 start mariadb.service 

于 

程序 说 明 : 

创建 脚本 文件 test4.sh。 

ps aux 列 出 系统 当前 所 有 进程 ，grep mariadb 搜索 包含 mariadb 的 进程 ， 因 为 grep 命 
令 本 身 占 据 了 一 个 进程 ， 如 果 mariadb 正常 工作 ， 一 般 应 该 是 两 个 。 具 体 还 要 在 服务 器 上 
执行 此 命令 测试 一 下 ; 使 用 “we -1” 计 算 找 到 几 个 进程 ， 本 例 中 ， 只 要 小 于 2， 那 么 服务 
器 就 可 以 确认 没有 运行 。 

反 扳 号 date 命令 执行 后 得 到 当前 时 间 ， 然 后 echo 命令 把 信息 写 到 日 志文 件 中 去 。 这 
里 一 定 要 用 输出 附加 重 定向 >>， 如 果 使 用 输出 重 定向 >， 就 会 毁 掉 日 志文 件 中 的 所 有 数 
据 ， 那 就 是 灾难 了 。 

接 下 来 启动 MariaDB 服务 ， 脚 本 结束 。 

为 了 让 检测 脚本 每 5 分 钟 执行 一 次 ， 需 要 配置 定时 任务 : 

#chmod u+X test4.sh 

#crontab -e 

5 /oOE/testash 

命令 说 明 : 

为 脚本 添加 执行 权限 ， 然 后 编辑 定时 任务 ， 设 置 每 5 分 钟 执行 一 次 test4.sh 脚本 。 

第 一 个 字段 “*/5” 表 示 每 5 分 钟 ， 另 外 ， 脚 本 要 使 用 绝对 路 径 。 


3. 使 用 for 循环 语句 


在 Shell 脚本 中 使 用 for 循环 语句 时 ， 可 以 为 变量 设置 一 个 取 值 列表 ， 每 次 读 取 列 表 中 
不 同 的 变量 值 并 执行 相关 命令 操作 ， 变 量 值 用 完 以 后 ， 则 退出 循环 。Shell 中 的 for 语句 不 
需要 执行 条 件 判 断 ， 其 所 用 变量 的 取 值 来 自 于 预先 设置 的 值 列表 。 

for 语句 结构 : 

for 变量 名 in 取 值 列表 

do 

命令 序列 

done 

上 述 语句 中 ,使 用 in 关键 字 为 用 户 自 定义 变量 设置 了 一 个 取 值 列表 (以 空格 分 隔 的 多 
个 值 )，for 语句 第 一 次 执行 时 ， 首 先 将 列表 中 的 第 一 个 取 值 赋 给 该 变量 ， 然 后 执行 do 后 边 
的 命令 序列 :然后 再 将 列表 中 的 第 二 个 取 值 赋 给 该 变量 ， 然 后 执行 do 后 边 的 命令 序列 ; 
如 此 循环 ， 直 到 取 值 列表 中 的 所 有 值 都 已 经 用 完 ， 最 后 将 跳 至 done 语句 ， 结 束 循环 。 

例 1， 依 次 输出 三 条 文件 信息 ， 包 括 一 天 中 的 Moming、Noon、Evening 字 串 : 
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#vi circlel.sh 

#cat circlel si 

#!/bin/bash 

for TM in "Morning""Noon""Evening" 
do 

echo "The STM of the day." 

done 


程序 说 明 : 
值 列表 共有 三 个 值 ， 因 此 共 循 环 三 次 。 
每 次 循环 ，TM 变量 接收 一 个 值 ， 所 以 ， 第 一 次 循环 变量 输出 第 一 个 值 ， 第 二 次 循环 


变量 输出 第 二 个 值 ， 第 三 次 循环 变量 输出 第 三 个 值 。 


例 2， 对 于 使 用 /bin/bash 登录 Shell 的 系统 用 户 ， 检 查 他 们 在 /opt 目录 中 拥有 的 子 目 录 


或 文件 数量 ， 如 果 超 过 100 个 ， 则 列 出 具体 数量 及 对 应 的 用 户 账号 : 


#vi circle2.sh 

#cat circle2.sh 

#!/bin/bash 

DIR="/opt” 

LMT=100 

ValidUsers=“grep "/bin/bash" /etc/passwd | cut -d ":" -f 1. 
// 找 出 使 用 bash 的 系统 用 户 列 表 


for UserName in $ValidUsers 

do 

Num= `find S$DIR -user $UserName | wc -1 
if [ SNum -gt SLMT ] ; then 

echo "$UserName have SNum files." 

a 

done 


程序 说 明 : 
DIR 变量 设置 检查 的 目标 目录 ; LMT 变量 设置 文件 数量 的 限制 值 。 
反 撤 号 语句 中 ，grep 查找 使 用 bash 登录 的 用 户 ， 这 样 的 用 户 可 以 登录 系统 ，cut 命令 


获得 第 一 个 区 域 ， 即 用 户 名 。 





整个 命令 把 使 用 bash 登录 系统 的 所 有 用 户 名 提取 出 来 ， 存 放 到 变量 ValidUsers 中 ， 作 


为 循环 控制 。 


每 个 用 户 循环 一 次 ， 使 用 find 命令 查找 属于 当前 用 户 在 指定 文件 夹 下 的 所 有 文件 ， 使 


用 “wc -1” 进 行 计数 ， 把 结果 保存 到 变量 Num 中 。 
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如 果 文 件数 超过 限制 值 ， 那 么 输出 信息 。 
所 有 用 户 检查 完毕 ， 程 序 结束 。 


4. 使 用 while 循环 语句 
在 Shell 脚本 中 使 用 while 循环 语句 时 ， 将 可 以 根据 特定 的 条 件 重复 执行 一 个 命令 列 


项 目 三 ”服务 器 的 日 常 管理 和 运 维 全 
表 ， 直 到 该 条 件 不 再 满足 时 为 止 。 


为 了 控制 循环 次 数 ， 通 常会 在 执行 的 命令 序列 中 包含 修改 测试 条 件 的 语句 ， 当 循环 达 
到 一 定 次 数 后 ， 测 试 将 不 再 成 立 ， 从 而 可 以 结束 循环 。 

while 语句 的 结构 : 

while 条 件 测试 命令 


在 上 述 语 句 中 ， 首 先 通过 while 判断 条 件 测试 命令 的 返回 状态 值 是 否 为 0( 条 件 成 立 )， 
如 果 是 ， 则 执行 do 后 边 的 命令 序列 ， 然 后 返回 到 while 再 次 进行 条 件 测试 并 判断 返回 状态 
值 ， 如 果 条 件 仍然 成 立 ， 则 继续 执行 do 后 边 的 命令 序列 ， 然 后 返回 到 while 重复 条 件 测 
试 ， 如 此 循环 ， 直 到 所 测试 的 条 件 不 成 立时 ， 跳 转 到 done 语句 ， 结 束 循环 。 

使 用 while 循环 语句 时 ， 有 两 个 特殊 的 条 件 测试 返回 值 ， 即 true( 真 )、false( 假 )。 使 用 
true 作为 测试 条 件 时 ， 条 件 将 永远 成 立 ， 循 环 体内 的 语句 将 无 限 次 执行 下 去 ， 反 之 使 用 
false 则 条 件 永远 不 成 立 ， 循 环 体 内 的 语句 将 不 会 被 执行 ， 这 两 个 特殊 值 也 可 以 用 在 站 语句 
的 条 件 测试 中 。 

例 1， 由 用 户 从 键盘 上 输入 一 个 大 于 1 的 整数 (如 50)， 并 且 计 算 从 1 到 该 数 之 间 各 整 
数 的 和 : 


#vi loopl.sh 

#cat loopl.sh 

#!/bin/bash 

read -p "Input a number (>1):" Num 
i=]1 

Sum=0 

while [ $i -le SNum ] 

do 

Sum=“expr $Sum + $i 

i=“expr $i + 1 

done 

echo "The sum of 1-$Num is : $Sum" 


程序 说 明 : 

编写 loop1.sh 文件 。 

输入 一 个 数 给 Num 变量 。 

循环 初始 化 ， 循 环 控制 变量 二 1， 和 变量 =0。 

当 循 环 控制 变量 小 于 等 于 输入 值 时 进行 循环 ， 执 行 循环 体 。 

每 次 循环 ， 循 环 控制 变量 +1， 这 样 从 1 开始 ， 一 直 加 到 输入 的 值 ， 和 存放 在 Sum 中 。 

循环 结束 ， 输 出 和 的 值 ， 程 序 结束 。 

例 2， 批 量 添加 20 个 系统 用 户 账号 ， 用 户 名 称 依次 为 stul、stu2、stu3、...、stu20， 各 
用 户 的 初始 密码 均 设 置 为 123456: 
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#vi loop2.sh 

#cat loop2.sh 

#!/bin/bash 

i=1 

while [ $i -le 20] 

do 

Useradd stu$i 

echo "123456" | passwd --stdin stu$i &> /dev/null 
i=“expr $i + 1. 

done 


程序 说 明 : 

循环 控制 变量 i 初 值 设 为 1。 

从 1 到 20 循环 20 次 。 

每 次 循环 ，useradd 添加 一 个 用 户 ， 使 用 passwd 设置 密码 ，--stdin 从 标准 输入 接收 密 


码 ， 而 echo 命令 通过 管道 把 初始 密码 送 到 passwd 命令 的 标准 输入 ， 实 现 自动 设置 密码 的 
功能 。 

每 次 循环 ， 控 制 变 量 i 加 1， 保 证 循环 20 次 就 结束 。 

例 3， 编 写 一 个 批量 删除 用 户 的 脚本 程序 ， 将 上 面 添加 的 20 个 用 户 删除 : 

#vi loop3.sh 

#cat loop3.sh 

#!/bin/bash 

i=1 

while [ $i -le 20 ] 

do 

userdel -r stu$i 

i=“expr $i + 1 

Done 

程序 说 明 : 

跟 上 例 类 似 ， 使 用 userdel 代替 useradd， 删 除 用 户 功 能 替代 了 新 建 用 户 功 能 ， 密 码 也 
不 用 改 了 ，-r 选项 在 删除 用 户 账号 时 ， 把 用 户 的 家 目录 也 删除 。 

使 用 “cat /etc/passwd” 查 看 账号 信息 ， 会 发 现 刚 才 新 建 的 用 户 已 经 不 存在 了 。 

学 会 了 顺序 程序 设计 ， 我 们 就 体会 到 了 管理 效率 提升 的 甜头 ， 原 来 要 忙 一 个 小 时 ， 现 
在 有 了 脚本 ， 只 需要 花 几 分 钟 ; 加 上 定时 任务 ， 就 可 以 让 多 数 日 常 管理 任务 自动 进行 ， 极 


大 地 提高 了 日 常 管理 工作 的 效率 。 此 时 ， 就 连 这 几 分 钟 都 可 以 省 掉 了 。 


用 ， 


对 于 复杂 的 日 常任 务 ， 顺 序 程序 设计 就 可 能 不 够 用 了 ， 就 像 半自动 挂机 工具 ,很 有 
但 是 离 不 开 人 ， 要 想 继续 道 琐 ， 就 要 使 用 分 支 程 序 设计 和 循环 程序 设计 来 解决 。 学 会 








了 分 支 和 循环 的 编写 ， 理 论 上 就 可 以 解决 所 有 的 编程 问题 ， 剩 下 的 就 是 漫长 而 永 无 止境 的 
经 验 和 技巧 的 进步 阶段 了 。 
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可 以 说 ， 不 会 写 管理 脚本 的 都 是 菜鸟 ， 学 会 写 脚本 ， 是 菜鸟 升级 进 阶 的 不 二 法 门 。 


项 目 三 服务 器 的 日 常 管理 和 运 维 侠 


上 机 实 训 : 服务 器 的 日 常 管理 和 运 维 


本 实 训 步 又 自行 设计 ， 抓 图 记录 每 个 操作 步骤 ， 并 对 结果 进行 简要 分 析 ， 对 遇 到 的 故 
障 和 解决 方法 进行 记录 并 分 享 。 
可 参照 教材 完成 实 训 步骤 设计 。 
为 每 一 实 训 任务 单独 编写 实 训 报告 并 提交 。 
. 实 训 任务 列表 
任务 一 : 定时 备份 。 
任务 二 : 远程 管理 。 
任务 三 : 文件 与 数据 库 备 份 管理 。 
任务 四 : Shell 常用 命令 。 
任务 五 ， Shell 编程 练习 。 


2. 实 训 步骤 ( 略 ) 


二 
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巩 目 关 


服务 器 的 安全 管理 


Wl mm Linux 网 络 操作 系统 项 目 教程 


项 目 导入 

善战 者 无 赫赫 之 功 ， 因 为 他 可 以 防范 事故 于 未 然 ; 而 临危 受命 ， 挽 狂澜 于 既 倒 ， 更 需 
要 平日 的 时 时 积累 。 

对 于 安全 管理 ， 任 何 一 个 企业 都 不 会 掉以轻心 ， 在 这 方面 ， 每 个 企业 都 会 不 遗 余力 ， 
做 到 最 好 。 


小 刘 作 为 某 公司 的 网 络 管理 员 ， 要 保护 公司 业务 网 站 和 其 他 主机 不 受 外 界 入 侵 ， 保 证 
企业 重要 数据 不 被 泄露 。 为 此 ， 要 制订 好 企业 的 安全 防护 方案 ， 并 部 署 实施 。 


项 目 分 析 


可 用 性 和 安全 性 不 可 兼 得 ， 应 用 对 用 户 越 是 友好 ， 安 全 级 别 通常 就 越 低 。 所 以 ， 不 是 
必需 的 服务 ， 应 尽量 关闭 ， 或 者 需要 使 用 时 临时 打开 ， 这 样 可 以 切断 攻击 的 途径 和 入 口 。 
有 些 服务 是 必须 开放 的 ， 比 如 网 站 应 用 要 提供 给 外 界 访问 ， 比 如 SSH 远程 管理 要 提供 管理 
员 通 过 网 络 进行 管理 的 必 备 通道 。 这 些 开 放 的 服务 ， 将 成 为 网 络 攻击 的 主要 目标 ， 要 重点 
防护 。 

本 项 目 介绍 对 服务 器 系统 进行 安全 管理 的 知识 和 技能 ， 通 过 本 项 目的 学 习 ， 能 够 有 效 
提升 服务 器 的 安全 级 别 ， 防 范 常见 的 网 络 攻击 。 

能 力 目标 

了 解 网 络 安全 面临 的 威胁 。 

掌握 账号 和 密码 安全 设置 方法 。 

掌握 修改 文件 访问 权限 的 方法 。 

掌握 防火 墙 开放 或 者 禁止 服务 端口 的 方法 。 

知识 目标 

了 解 系统 面临 的 安全 威胁 。 

了 解 系统 漏洞 和 补丁 程序 。 

了 解 账号 系统 。 

了 解 授 权 管 理 。 

了 解 防火 墙 的 作用 。 


任务 一 : 做 好 安全 管理 


在 这 一 部 分 中 ， 我 们 要 关注 三 个 问题 : 安全 管理 管 什么 ? 为 什么 说 安全 管理 很 重要 ? 
如 何 进行 安全 管理 ? 
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项 目 四 “服务 器 的 安全 管理 倒 因 
知识 储备 
4.1 安全 管理 的 起 源 


在 网 络 发 展 的 早期 ， 安 全 并 没有 得 到 足够 的 重视 ， 所 有 的 计算 机 和 谐 地 共存 ， 计 算 机 
专家 和 黑客 们 醉心 于 构建 网 络 世界 。 直 到 20 世纪 80 年 代 ， 安 全 问题 才 开始 进入 人 们 的 视 
野 ， 敲 响 了 网 络 安全 的 警钟 。 

为 了 避免 毁 掉 当时 刚刚 开始 发 展 壮大 的 互联 网 ， 安 全 问题 的 讨论 被 限制 在 小 范围 内 传 

播 。 但是， 网 络 安 全 的 意识 ， 己 经 开始 引起 重视 。 直 到 莫 里 斯 的 蠕虫 病毒 出 现 ， 触 发 了 安 
全 管理 的 新 时 代 。 
1988 年 冬天 ， 正 在 康 乃 尔 大 学 攻读 的 莫 里 斯 ， 把 一 个 被 称 为 “蠕虫 ”的 电脑 病毒 送 进 
了 美国 最 大 的 电脑 网 络 一 一 互联 网 。1988 年 11 月 2 日 ， 互 联网 的 管理 人 员 首 次 发 现 网 络 
有 不 明 入 侵 者 。 它 们 仿佛 是 网 络 中 的 超级 间谍 ， 狼 独 地 不 断 截取 用 户口 令 等 网 络 中 的 “机 
密 文件 ”， 利 用 这 些 口 令 欺骗 网 络 中 的 “哨兵 ”， 长 驱 直入 互联 网 中 的 用 户 电 脑 。 入 侵 得 
手 后 ， 会 立即 反 客 为 主 ， 并 闪电 般 地 自我 复制 ， 抢 占 地 盘 。 

用 户 目 星 口 呆 地 看 着 这 些 不 请 自 来 的 神秘 入 侵 者 迅速 扩大 战果 ， 充 斥 电 脑 内 存 ， 使 电 
脑 莫名 其 妙 地 “ 死 掉 ”， 只 好 去 向 管理 人 员 求援 ， 可 是 ， 管 理 员 们 也 只 能 眼睁睁 地 看 着 网 
络 中 的 电脑 一 批 又 一 批 地 被 病毒 感染 而 “身亡 ”。 

当晚 ， 从 美国 东海 岸 到 西海 岸 ， 互 联网 用 户 陷入 一 片 恐 慌 。 到 加 州 伯克利 分 校 的 专家 
找 出 阻止 病毒 蔓延 的 办 法 时 ， 短 短 12 小 时 内 ， 已 有 六 千 多 台 采 用 Unix 操作 系统 的 计算 机 
瘫痪 或 半 瘫 痪 ， 不 计 其 数 的 数据 和 资料 毁 于 这 一 夜 之 间 。 

这 些 数据 现在 看 不 算 什 么 ， 但 是 要 知道 ， 蠕 虫 病毒 爆发 于 1988 年 。 那 时 候 ， 网 络 规 
模 远 远 小 于 现在 ， 病 毒 从 来 没有 出 现 之 前 ，Unix 系统 拥有 “绝对 安全 ”的 神话 ， 甚 至 网 络 
安全 的 相关 法 规 还 没有 一 点 影子 。 而 这 一 切 ， 在 蠕虫 病毒 面前 ， 全 都 变 了 。 

英里 斯 事件 震惊 了 美国 社会 乃至 整个 世界 ， 而 比 此 事件 影响 更 大 、 更 深远 的 是 ， 黑客 
从 此 真正 变 黑 ， 大 众 对 黑客 的 印象 从 此 永远 不 可 能 恢复 ， 而 且 ， 计 算 机 病毒 从 此 成 为 网 络 
发 展 的 毒瘤 和 焦点 。 

从 网 络 诞生 开始 到 如 今 ， 当 人 们 意识 到 信息 系统 的 脆弱 之 后 ， 用 户 对 网 络 安全 的 要 求 
就 越 来 越 高 ， 网 络 安全 管理 也 就 越 来 越 重要 。 网 络 安全 管理 主要 聚焦 的 几 个 安全 问题 ， 包 
括 网 络 数据 的 私有 性 、 授 权 和 访问 控制 。 

简单 地 说 ， 数 据 的 私有 性 主要 保证 数据 不 被 非法 访问 和 处 理 ， 有 时 也 称 为 未 授权 的 访 
间 ; 授权 指 用 户 对 数据 访问 的 权限 设置 ， 访 问 控制 指 对 非法 用 户 的 访问 进行 拦截 。 也 就 是 
说 ， 安 全 管理 的 根本 内 容 就 是 提供 最 小 授权 和 严格 的 审核 措施 。 当 然 ， 实 际 工 作 场景 中 ， 
对 最 小 授权 不 能 苛求 ， 只 是 努力 接近 就 好 ， 这 是 因为 要 达到 极致 的 最 小 授权 ， 必 须 因 人 、 
因 时 、 因 情况 而 异 ， 这 样 管理 工作 量 太 大 ， 基 本 不 可 行 。 

安全 管理 采用 信息 安全 措施 保护 网 络 中 的 系统 、 数 据 以 及 业务 ， 安 全 管理 与 其 他 管理 
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功能 有 着 密切 的 关系 ， 安 全 管理 要 调用 配置 管理 中 的 系统 服务 对 网 络 中 的 安全 设施 进行 控 
制 和 维护 。 当 网 络 中 发 现 安全 方面 的 故障 时 ， 要 向 故障 管理 人 员 通 报 安全 故障 事件 ， 以 便 
进行 故障 诊断 和 恢复 ， 安 全 管理 功能 还 要 接收 计 费 管理 发 来 的 与 访问 权限 有 关 的 计 费 数据 
和 访问 事件 通报 。 

















4.2 ”安全 问题 与 应 对 措施 


现在 的 互联 网 ， 容 纳 的 节点 数 以 十 亿 计 ， 人 遍及 全 世界 所 有 国家 。 由 于 接 入 节点 拥有 各 
自 的 归属 ， 统 一 管理 是 不 可 能 实现 的 。 翡 观 地 估计 ， 这 就 意味 着 ， 可 能 有 十 亿 计 的 节点 会 
发 起 攻击 。 世 界 上 任何 一 台 计 算 机 都 不 可 能 在 这 么 庞大 的 数据 冲击 下 存活 。 

为 了 不 至 于 成 为 被 利用 来 进行 网 络 攻击 的 棋子 ， 每 个 接 入 节点 有 必要 保证 自身 的 基础 
安全 ， 而 对 于 网 络 中 的 重要 设备 、 服 务 器 、 数 据 库 等 ， 则 更 应 该 提升 自身 的 安全 水 平和 防 
护 能 

安全 管理 的 目的 ， 是 提供 信息 的 隐私 、 认 证 和 完整 性 保护 机 制 ， 使 网 络 中 的 服务 、 数 
据 以 及 系统 免 受 侵扰 和 破坏 。 

Linux 操作 系统 以 安全 性 和 稳定 性 著称 ， 但 这 并 不 意味 着 使 用 Linux 就 是 安全 的 。 

首先 ， 再 好 的 系统 也 要 人 来 配置 使 用 ， 如 果 配 置 不 当 ， 那 么 系统 再 完美 也 是 枉然 。 就 
好 像 家 里 安装 了 最 好 的 安全 门 ， 但 是 你 不 锁 门 也 没 用 ， 门 再 安全 ， 如 果 窗 户 没 做 防护 ， 也 
仍然 无 法 防止 入 侵 。 

其 次 ， 实 用 性 和 安全 性 是 一 对 永恒 的 矛盾 ， 没 有 实用 性 的 系统 没有 存在 的 必要 ， 提 高 
实用 性 ， 就 会 降低 安全 性 。 比 如 设置 用 户 密码 ， 要 安全 性 好 ， 那 么 就 得 使 用 复杂 密码 ， 但 
是 密码 复杂 而 且 长 了 后 ， 自 己 就 难以 记忆 ， 这 样 实用 性 就 很 差 ， 反 过 来 ， 选 姓名 加 生日 来 
作为 密码 ， 很 好 记忆 ， 看 着 也 很 长 ， 但 是 破解 的 时 候 连 1 秒 可 能 都 不 需要 ， 实 用 性 高 了 ， 
安全 性 却 荡然 无 存 了 。 

出 于 实用 性 的 考虑 ， 系 统 不 可 能 配置 到 真正 理想 中 的 安全 程度 。 

再 者 ， 集 成 的 安全 性 无 法 保证 。 系 统 是 由 一 个 个 软件 构成 的 ， 完 美 无 瑕 症 的 软件 是 不 
可 能 存在 的 ， 每 个 软件 都 可 能 存在 安全 问题 ， 海 量 的 软件 集成 在 一 起 ， 在 某 种 程度 上 ， 就 
相当 于 海量 的 安全 问题 聚集 在 一 起 。 要 保证 系统 安全 ， 会 是 巨大 的 挑战 。 

最 后 ， 随 着 黑客 攻击 技术 的 发 展 ， 即 使 我 们 现在 认为 安全 的 系统 ， 也 会 不 断 发 现 新 的 
漏洞 和 缺陷 ， 系 统 安全 防范 工作 仍然 需要 系统 管理 员 的 高 度 重视 。 

安全 形势 如 此 严峻 ， 那 么 ， 怎 样 保 证 服务 器 的 安全 呢 ? 

(1) 对 服务 器 进行 良好 的 配置 ， 这 基本 上 可 以 防止 绝 大 多 数 的 网 络 攻击 ， 从 而 保证 服 
务 器 自身 的 安全 。 

(2) 根据 用 户 的 安全 需求 ， 量 身 定制 安全 体系 。 

对 于 普通 安全 需求 的 网 络 ， 管 理 员 的 任务 主要 是 配置 管理 好 系统 防火 墙 。 为 了 能 够 及 
时 发 现 和 阻止 网 络 黑客 的 攻击 ， 可 以 加 配 入 侵 检 测 系统 ， 对 关键 服务 提供 安全 保护 。 

对 于 安全 保密 级 别 要 求 高 的 网 络 ， 网 络 管理 员 除 了 应 该 采取 上 述 措施 外 ， 还 应 该 配备 














.248 \， 


项 目 四 服务 器 的 安全 管理 倒 


网 络 安全 漏洞 扫描 系统 ， 并 对 关键 的 网 络 服务 器 采取 容 灾 的 技术 手段 。 

对 于 更 严格 的 涉 密 计算 机 网 络 ， 还 要 求 在 物理 上 与 外 部 公共 计算 机 网 络 绝对 隔离 ， 对 
安置 涉 密 网 络 计算 机 和 网 络 主干 设备 的 房间 要 采取 安全 措施 ， 管 理 和 控制 人 员 的 进出 ， 对 
涉 密 网 络 用 户 的 工作 情况 要 进行 全 面 的 管理 和 监控 。 

要 保证 服务 器 的 安全 ， 记 住 一 个 基本 原则 : 那 就 是 最 小 的 权限 加 上 最 少 的 服务 等 于 最 
大 的 安全 。 所 以 ， 无 论 是 配置 任何 服务 器 ， 我 们 都 必须 把 不 用 的 服务 关闭 ， 把 系统 权限 设 
置 到 刚刚 能 完成 任务 的 权限 ， 这 样 才能 保证 服务 器 最 大 的 安全 。 


4.3 系统 漏洞 与 补丁 程序 
4.3.1 什么 是 系统 漏洞 








对 于 服务 器 系统 的 安全 来 说 ， 危 害 最 大 的 就 是 系统 漏洞 。 

系统 漏洞 是 指 在 硬件 、 软 件 、 协 议 的 具体 实现 或 系统 安全 策略 上 存在 的 缺陷 ， 从 而 可 
以 使 攻击 者 在 未 授权 的 情况 下 访问 或 破坏 系统 。 

通俗 地 说 ， 漏 洞 就 是 系统 本 身 有 毛病 ， 被 坏人 利用 了 ， 你 的 服务 器 就 会 被 攻破 。 

有 了 毛病 要 快 治 ， 有 了 漏洞 要 快 补 。 操 作 系统 软件 、 各 种 应 用 软件 、 游 戏 等 ， 在 使 用 
过 程 中 ， 被 发 现 软件 存在 问题 或 漏洞 后 ， 开 发 商 或 者 第 三 方 安全 厂商 会 为 此 写 出 修补 程 
序 ， 称 为 补丁 程序 。 把 补丁 程序 下 载 安装 后 ， 这 个 安全 漏洞 就 不 会 再 危害 你 的 服务 器 了 。 

如 果 系 统 存在 漏洞 ， 未 能 及 时 修正 ， 就 可 能 遭 到 恶意 软件 、 木 马 、 病 毒 的 攻击 。 

打 补 丁 的 关键 是 时 效 性 。 在 漏洞 信息 和 补丁 公布 的 过 程 中 ， 攻 击 者 和 防护 人 员 就 在 赛 
跑 ， 如 果 攻 击 者 跑 赢 了 ， 就 可 以 在 你 还 没有 修补 系统 漏洞 时 ， 利 用 漏洞 进行 攻击 ， 从 而 侵 
入 系统 ， 造 成 破坏 。 

如 果 一 个 缺陷 不 能 被 利用 ， 来 干 “ 原 本 ”不 能 干 的 事 (安全 相关 的 )， 那 么 就 不 能 被 称 
为 安全 漏洞 ， 所 以 安全 漏洞 必然 与 漏洞 利用 紧密 联系 在 一 起 。 如 果 从 漏洞 利用 的 视角 来 
看 ， 攻 击 者 关注 的 有 数据 、 权 限 、 可 用 性 攻击 、 身 份 审核 、 代 码 执行 权限 等 具体 的 领域 。 

(1) 从 数据 视角 上 看 ， 攻 击 者 的 目的 是 访问 本 来 不 可 访问 的 数据 ， 包 括 读 和 写 。 这 一 
条 通常 是 攻击 者 的 核心 目的 ， 而 且 可 造成 非常 严重 的 灾难 (如 银行 数据 被 人 改写 )。 

(2) 从 权限 视角 上 看 ， 攻 击 者 的 主要 目的 是 权限 绕 过 或 权限 提升 。 权 限 提升 或 者 绕 过 
后 ， 攻 击 者 就 可 以 访问 和 修改 本 来 不 能 访问 的 数据 了 。 

(3) 从 可 用 性 攻击 视角 上 看 ， 攻 击 者 的 目的 是 获得 对 系统 某 些 服务 的 控制 权限 ， 从 而 
对 服务 达成 某 种 操纵 ， 使 得 服务 不 能 良好 地 运行 。 这 可 能 导致 某 些 重要 服务 被 攻击 者 停止 
而 呈现 拒绝 服务 攻击 。 

(4) 从 身份 审核 的 视角 上 看 ， 攻 击 者 的 目的 不 是 费力 地 强制 破解 密码 ， 而 是 利用 系统 
漏洞 ， 绕 过 用 户 身 份 认证 的 模块 ， 不 用 登录 就 能 进入 系统 。 通 常 ， 绕 过 认证 都 是 为 权限 提 
升 或 直接 的 数据 访问 服务 的 。 

(5) 从 代码 执行 角度 上 看 ， 攻 击 者 的 目的 主要 是 让 程序 将 输入 的 内 容 作 为 代码 来 执 
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行 ， 从 而 获得 远程 系统 的 访问 权限 或 本 地 系统 的 更 高 权限 。 这 个 角度 是 SQL 注入 等 的 主要 
工作 模式 。 这 个 角度 通常 可 以 为 绕 过 系统 认证 、 权 限 提 升 、 数 据 读 取 做 准备 。 

(6) 从 攻击 者 的 角度 看 ， 可 以 被 攻击 的 目标 很 多 ， 这 也 使 得 防御 变 得 很 艰难 。 

(7) 从 时 序 上 看 ， 漏 洞 可 分 为 已 发 现 很 久 的 漏洞 、 刚 发 现 的 漏洞 和 未 公开 的 漏洞 。 

中 已 发 现 很 久 的 漏洞 。 

厂商 已 经 发 布 补丁 或 修补 方法 ， 很 多 人 都 已 经 知道 。 这 类 漏洞 通常 多 数 人 已 经 进行 了 
修补 ， 宏 观 上 看 ， 危 害 比较 小 。 

@) 刚 发 现 的 漏洞 。 

厂商 刚 发 布 补丁 或 修补 方法 ， 知 道 的 人 还 不 多 ， 大 多 数 用 户 还 没有 进行 修补 。 相 对 于 
上 一 种 漏洞 ， 其 危害 性 较 大 ， 如 果 此 时 攻击 者 编写 了 网 络 蠕虫 程序 或 傻瓜 化 的 攻击 程序 ， 
会 导致 大 批 系 统 受 到 攻击 。 

@ 未 公开 的 漏洞 (0day 攻击 )。 

在 私下 小 范围 传播 的 ， 还 没有 公开 的 漏洞 。 这 类 漏洞 通常 对 大 众 不 会 有 什么 影响 ， 但 
会 导致 攻击 者 瞄准 的 目标 受到 精确 攻击 ， 危 害 非常 大 。 这 些 漏 洞 通 常 掌握 在 专业 黑客 和 攻 
击 者 手 里 ， 由 于 未 公开 ， 自 然 也 就 没有 补丁 。 这 通常 意味 着 主机 对 此 漏洞 没有 防御 能 力 ， 
一 旦 攻击 者 进行 攻击 ， 防 护 人 员 通 常 无 法 及 时 处 理 和 修补 ， 就 会 造成 严重 的 后 果 。 


4.3.2 补丁 跟 进 和 获取 








网 络 管理 员 每 天 上 班 ， 头 三 件 事 ， 一 是 查看 系统 当前 的 运行 状况 ;二 是 查看 日 志 ， 了 
解 服务 器 在 上 班 之 前 记录 下 的 各 种 信息 ; 三 是 查看 最 新 的 漏洞 信息 和 补丁 发 布 信息 ， 以 便 
在 补丁 发 布 后 及 时 更 新 。 

对 于 服务 器 涉及 到 的 各 种 系统 更 新 ， 服 务 器 上 配置 的 各 种 服务 相关 的 安全 漏洞 信息 和 
产品 厂商 发 布 的 安全 补丁 信息 ， 如 果 不 能 及 时 更 新 ， 就 可 能 成 为 攻击 者 攻击 的 目标 。 

安全 补丁 根据 其 对 应 漏洞 的 严重 程度 ， 分 为 三 个 级 别 : 紧急 补丁 、 重 要 补丁 和 一 般 补 
丁 ; 一 般 的 认 知 是 ， 紧 急 补 丁 必须 在 5 天 内 完成 修补 ， 重 要 补丁 必须 在 10 天 内 完成 修 
补 ， 一 般 补丁 要 求 1 个 月 内 完成 修补 。 

从 得 知 漏洞 和 补丁 的 信息 后 ， 管 理 员 要 尽快 从 正式 渠道 获取 安全 补丁 ， 例 如 产品 厂商 
提供 的 或 从 产品 厂商 网 站 下 载 的 安全 补丁 。 否 则 ， 如 果 使 用 了 来 源 不 可 靠 的 补丁 程序 ， 内 
嵌 伪 装 后 的 攻击 代码 ， 那 么 就 会 迎 贼 进门 ， 无 力 回 天 了 。 

下 载 得 到 安全 补丁 后 ， 系 统管 理 员 要 负责 对 安全 补丁 进行 完整 性 校 验 ， 确 保 获 取 的 安 
全 补丁 软件 未 被 修改 和 可 用 ; 再 在 测试 系统 上 试 部 署 ， 并 测试 效果 ， 验 证 有 效 且 不 会 对 系 
统 造成 不 利 影响 后 ， 再 在 企业 环境 下 部 署 。 部 署 前 ， 要 做 好 数据 的 备份 工作 ， 以 防 万 一 。 


4.3.3 ”补丁 测试 与 加 载 








补丁 加 载 之 前 ， 必 须 经 过 严格 的 测试 ， 严 禁 未 经 测试 直接 在 运行 的 系统 上 加 载 补丁 。 
加 载 经 上 级 信息 系统 管理 部 门 测试 后 下 发 的 补丁 可 以 不 做 测试 。 
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补丁 测试 的 方式 有 两 种 : 实验 机 测试 和 现 网 测试 。 实 验 机 测试 必须 进行 ， 实 验 机 配置 
环境 需要 与 现 网 环境 尽 可 能 一 致 ， 并 考虑 差异 性 带 来 的 风险 ; 条 件 允 许 的 情况 下 (如 有 测试 
设备 或 备 机 ) 可 以 进行 现 网 测试 。 

补丁 测试 的 内 容 包括 安装 测试 、 功 能 性 测试 、 兼 容 性 测试 和 回 退 测试 。 

(1) 安装 测试 主要 测试 补丁 安装 过 程 是 否 正确 无 误 ， 补 丁 安装 后 系统 是 否 正 常 运行 。 

(2) 功能 性 测试 主要 测试 补丁 是 否 对 安全 漏洞 进行 了 修补 。 

(3) 兼容 性 测试 主要 测试 补丁 加 载 后 是 否 对 应 用 系统 带 来 了 影响 ， 业 务 是 否 可 以 正常 
地 运行 。 

(4) 回 退 测试 主要 包括 补丁 卸载 测试 、 系 统 还 原 测试 。 

从 安全 漏洞 发 布 到 补丁 加 载 前 ， 公 司 系统 管理 员 根据 需要 给 出 应 急 措 施 建议 ， 例 如 通 
过 加 强 访问 控制 、 临 时 关闭 服务 、 加 强 安全 审计 等 应 急 措施 来 加 强 网 络 安 全 ， 各 相关 业务 
系统 根据 建议 采取 适当 的 防护 措施 ， 并 加 强 对 系统 的 监控 ， 及 时 发 现 和 报告 安全 事件 。 

补丁 加 载 前 ， 需 向 主管 领导 提交 《安全 补丁 测试 报告 》、《 安 全 补丁 安装 计划 和 实施 
方案 》、《 安 全 补丁 回 退 实施 方案 》， 经 审批 通过 后 ， 按 计划 执行 ， 审 批 的 周期 应 限制 在 
两 个 工作 日 内 ， 并 尽量 缩短 。 

在 补丁 安装 前 ， 必 须 做 好 数据 备份 工作 ， 确 保 任何 操作 都 可 回 退 ， 在 到 达 回 退 时 间 补 
丁 加 载 没 有 完成 时 ， 启 动 回 退 操作 ， 保 证 业务 的 正常 运行 。 

补丁 测试 的 工作 由 系统 集成 商 或 系统 管理 员 负 责 实施 。 必 须 对 补丁 的 现场 测试 和 现 网 
测试 限定 时 间 ， 测 试 完 成 后 ， 需 要 编写 详细 的 测试 报告 ， 给 出 明确 的 测试 结论 。 

系统 管理 员 需 要 把 《补丁 测试 报告 》 提 交 给 部 门 主管 领导 进行 审核 ， 审 核 通过 后 ， 可 
以 进行 补丁 加 载 和 发 布 。 

为 确保 系统 集成 商 及 时 配合 补丁 的 测试 和 安装 工作 ， 需 要 通过 合同 的 方式 ， 明 确 集成 
商 的 安全 补丁 测试 和 安装 责任 ， 约 束 条 款 至 少 应 包括 : 实验 机 测试 环境 的 构建 ， 在 规定 时 
间 内 完成 补丁 测试 ， 补 本 加载， 补丁 加 载 失败 时 的 测试 与 分 析 ， 补 丁 与 应 用 冲突 时 的 系统 
改造 和 升级 等 工作 。 

补丁 加 载 必须 安排 在 业务 比较 空闲 的 时 间 进 行 ， 对 补丁 加 载 的 操作 过 程 必 须 详细 记 
录 。 同 时 ， 必 须 维护 已 成 功 加 载 设 备 、 未 加 载 设备 及 加 载 失败 的 设备 清单 。 

核心 业务 主机 的 补丁 加 载 建议 要 求 厂 商工 程 师 现场 支持 。 


4.3.4 补丁 验证 与 归档 








补丁 安装 完成 后 ， 业 务 系 统管 理 员 必 需 查看 系统 信息 ， 确 保安 全 补丁 已 经 成 功 加 载 。 

必须 对 加 载 补丁 后 的 系统 按照 计划 和 验证 方案 进行 严格 的 测试 验证 ， 确 保 补 本 加载 后 
不 影响 系统 的 性 能 ， 确 保 各 项 业务 操作 正常 。 

补丁 加 载 后 的 一 周 内 ， 系 统管 理 员 必须 加 强 对 系统 性 能 和 事件 进行 密切 的 监控 ， 填 写 
每 天 的 运行 监控 报告 。 

补丁 加 载 验证 结束 后 ， 系 统管 理 员 必须 编写 《补丁 安装 报告 》、《 补 丁 验证 测试 报 
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告 》， 并 进行 归档 。 

系统 管理 员 负 责 对 安全 补丁 软件 进行 归档 ， 以 备 系统 重 装 时 的 需要 。 

此 外 ， 为 了 保证 整个 过 程 标准 有 效 ， 必 须 加 强 监督 和 检查 。 

信息 系统 管理 部 门 的 主管 领导 负责 对 各 部 门 补丁 管理 的 执行 情况 进行 考核 ， 考 核 的 内 
容 包 括 补 丁 加 载 情况 、 补 丁 版 本 信息 的 准确 性 和 相关 文档 的 质量 。 

可 通过 安全 漏洞 扫描 和 现场 人 工 抽查 进行 审计 和 检查 ， 考 核 的 方式 可 通过 部 门 内 部 的 
自 查 和 公司 信息 系统 管理 部 门 组 织 的 巡 检 进行 。 


4.4 常见 的 网 络 攻击 方式 


网 络 服务 器 通常 放置 在 专业 机 房 中， 在 物理 上 ， 能 够 充分 保证 其 安全 。 除 了 不 可 抗力 
因素 ， 例 如 火山 爆发 、 洪 水 侵袭 、 地 震 等 ， 基 本 不 会 受到 毁损 。 

服务 器 受到 的 攻击 ， 通 常 来 自 网 络 。 作 为 网 络 服务 器 ， 需 要 向 外 界 互联 网 提供 服务 ， 
这 样 ， 就 必须 跟 外 网 用 户 进行 大 量 的 交互 ， 这 也 就 给 来 自 网 络 的 攻击 者 提供 了 攻击 的 机 
会 。 常 见 的 网 络 攻击 方式 包括 端口 扫描 、 嗅 探 、 木 马 、 病 毒 等 。 





4.4.1 端口 扫描 


端口 (Port) 指 TCP/IP 协议 中 的 端口 ， 用 于 承载 特定 的 网 络 服务 ， 其 编号 的 范围 为 
0~65535， 例 如 ， 用 于 承载 Web 服务 的 是 80 端口 ， 用 于 承载 FTP 服务 的 是 21 端口 和 20 
端口 等 。 在 网 络 技术 中 ， 每 个 端口 承载 的 网 络 服务 是 特定 的 ， 因 此 可 以 根据 端口 的 开放 情 
况 来 判断 当前 系统 中 开启 的 服务 。 

扫描 器 就 是 通过 依次 试探 远程 主机 TCP 端口 ， 获 取 目 标 主机 的 响应 ， 并 记录 目标 主机 
信息 的 攻击 方式 。 根 据 这 些 响应 的 信息 ， 可 以 搜集 到 很 多 关于 目标 主机 的 有 用 信息 ， 包 括 
该 主机 是 否 支持 匿名 登录 ， 以 及 提供 某 种 服务 的 软件 包 的 版 本 等 。 这 些 信 息 可 以 直接 或 间 
接地 帮助 攻击 者 了 解 目标 主机 可 能 存在 的 安全 问题 。 

端口 扫描 器 并 不 是 一 个 直接 攻击 网 络 漏洞 的 程序 ， 但 是 ， 它 能 够 帮助 攻击 者 发 现 目标 
主机 的 某 些 内 在 安全 问题 。 

通常 ， 扫 描 器 应 该 具备 如 下 3 项 功能 。 

(1) 发 现 一 个 主机 或 网 络 的 能 力 。 

(2) 发 现 远 程 主机 后 ， 获 取 该 主机 正在 运行 的 服务 的 能 力 。 

(3) 通过 测试 远程 主机 上 正在 运行 的 服务 ， 发 现 漏洞 的 能 力 。 

有 了 这 三 大 能 力 ， 就 可 以 搜集 目标 计算 机 的 相关 信息 ， 为 后 续 攻击 提供 信息 支持 。 


4.4.2 ”了 嗅 探 技 术 

















嗅 探 技术 是 一 种 重要 的 网 络 安全 攻防 技术 ， 攻 击 者 可 以 通过 嗅 探 技 术 ， 以 非常 隐蔽 的 
方式 扎 取 网 络 中 的 大 量 敏感 信息 。 
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与 主动 扫描 相 比 ， 嗅 探 更 加 难以 被 发 觉 ， 也 更 加 容易 操作 和 实现 。 对 于 网 络 管理 员 来 
说 ， 也 可 以 借助 嗅 探 技术 对 网 络 活动 进行 实时 监控 ， 发 现 网 络 中 的 各 种 攻击 行为 。 

嗅 探 操作 的 成 功 实施 ， 是 由 以 太 网 的 共享 式 特性 决定 的 。 由 于 以 太 网 是 基于 广播 方式 
传输 数据 的 ， 所 有 的 物理 信号 都 会 被 传送 到 每 一 个 网 络 主机 节点 ， 而 且 以 太 网 中 的 主机 网 
卡 允 许 设置 成 混杂 接收 模式 ， 在 这 种 模式 下 ， 无 论 监听 到 的 数据 帧 的 目的 地 址 如 何 ， 网 卡 
都 可 以 予以 接收 。 更 重要 的 是 ， 在 TCP/IP 协议 栈 中， 网 络 信息 的 传递 大 多 是 以 明文 传输 
的 ， 这 些 信息 中 往往 包含 了 大 量 的 敏感 信息 ， 比 如 邮箱 、FTP 或 Telnet 的 账号 和 密码 等 ， 
因此 ， 使 用 嗅 探 的 方法 可 以 获取 这 些 敏感 信息 。 

嗅 探 器 最 初 是 作为 网 络 管理 员 检测 网 络 通信 的 工具 出 现 的 ， 它 既 可 以 是 软件 的 ， 也 可 
以 是 硬件 设备 。 软 件 嗅 探 器 使 用 方便 ， 可 以 针对 不 同 的 操作 系统 使 用 不 同 的 软件 嗅 探 器 ， 
而 且 很 多 软件 嗅 探 器 都 是 免费 的 。 

处 于 网 络 中 的 主机 ， 如 果 发 现 网 络 出 现 了 数据 包 丢 失 率 很 高 或 网 络 带宽 长 期 被 网 络 中 
的 某 台 主机 占用 的 情况 ， 就 应 该 怀疑 网 络 中 是 否 存在 嗅 探 器 。 


4.4.3 木马 





木马 又 称 特洛伊 木马 ， 是 一 种 恶意 计算 机 程序 ， 长 期 驻 留 在 目标 计算 机 中 ， 可 以 随 系 
统 启动 ， 并 且 秘密 开放 一 个 甚至 多 个 数据 传输 通道 ， 属 于 远程 控制 程序 。 

木马 程序 一 般 由 客户 端 (Client) 和 服务 器 端 (Server) 两 部 分 组 成 ， 客 户 端 也 称 为 控制 端 ， 
一 般 位 于 入 侵 者 计算 机 中 ， 服 务 器 端 则 一 般 位 于 用 户 计算 机 中 。 

木马 本 身 不 带 伤 害 性 ， 也 没有 感染 能 力 ， 所 以 木马 不 是 病毒 。 

木马 通常 具有 隐蔽 性 和 非 授权 性 的 特点 。 

所 谓 隐 蔽 性 ， 是 指 木马 的 设计 者 为 了 防止 木马 被 发 现 ， 会 采用 多 种 手段 隐藏 木马， 这 
样 ， 服 务 端 计算 机 即使 发 现 感染 了 木马 ， 也 不 能 确定 其 具体 位 置 。 

所 谓 非 授权 性 ， 是 指 一 旦 客户 端 与 服务 端 连接 后 ， 客 户 端 将 享有 服务 端的 大 部 分 操作 
权限 ， 包 括 修改 文件 ， 修 改 注 册 表 ， 控 制 鼠 标 、 键 盘 等 ， 这 些 权力 并 不 是 服务 端 赋予 的 
而 是 通过 木马 程序 窍 取 的 。 

入 侵 者 一 般 使 用 木马 来 监视 被 入 侵 者 或 盗 取 被 入 侵 者 的 密码 、 敏 感 数据 等 。 


4.4.4 ”病毒 

虽然 Linux 系统 的 病毒 并 不 像 Windows 系统 那样 数量 繁多 ， 但 是 ， 威 胁 Linux 平台 的 
病毒 同样 存在 ， 而 且 增长 很 快 。Linux 下 的 病毒 可 以 分 为 以 下 类 别 。 

1. 蠕虫 (worm) 病 毒 


1988 年 Morris 晴 虫 爆发 后 ，Eugene H. Spafford 给 出 了 蠕虫 的 定义 : “计算 机 蠕虫 可 
以 独立 运行 ， 并 能 把 自身 的 一 个 包含 所 有 功能 的 版 本 传播 到 另外 的 计算 机 上 ”。 与 其 他 种 
类 的 病毒 相 比 ， 在 Linux 平台 下 最 为 猩 狐 的 就 是 蠕虫 病毒 。 随 着 Linux 系统 的 应 用 越 来 越 
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广泛 ， 蠕 虫 的 传播 程度 和 破坏 力也 会 随 之 增加 。 

2. 可 执行 文件 型 病毒 

可 执行 文件 型 病毒 是 指 能 够 感染 可 执行 文件 的 病毒 ， 如 Lindose。 这 种 病毒 大 部 分 都 
只 是 企图 以 感染 其 他 主机 程序 的 方式 进行 自我 复制 。 

3. 脚本 病毒 


目前 出 现 比较 多 的 是 使 用 Shell 脚本 语言 编写 的 病毒 。 此 类 病毒 编写 较为 简单 ， 但 是 
破坏 力 同样 惊人 。 一 个 十 数 行 的 Shell 脚本 就 可 以 在 短 时 间 内 遍历 整个 硬盘 中 的 所 有 脚本 
文件 ， 并 进行 感染 。 且 此 类 病毒 还 具有 编写 简单 的 特点 。 

4. 后 门 程序 


后 门 程序 一 般 是 指 那些 绕 过 安全 性 控制 而 获取 程序 或 系统 访问 权 的 程序 。 在 广义 的 病 
毒 定义 概念 中 ， 后 门 也 己 经 纳入 了 病毒 的 范畴 。 从 增加 系统 超级 用 户 账号 的 简单 后 门 ， 到 
利用 系统 服务 加 载 ， 共 享 库 文件 注册 ，rootkit 工具 包 ， 甚 至 装载 内 核 模 块 (LKM)，Linux 

台 下 的 后 门 技术 发 展 非常 成 熟 ， 其 隐蔽 性 强 ， 难 以 清除 。 


任务 实践 


上 网 搜索 “网 络 安全 大 事 记 ”， 选 择 一 件 你 关注 的 事件 ， 尝 试 搜集 以 下 资料 ， 总 结 经 
验 教训 ， 并 分 享 给 大 家 。 

(1) 事件 名 称 : 《*###*### 网 络 安全 事件 资料 搜集 与 分 析 》 。 

(2) 发 生 时 间 : * 年 * 月 * 日 * 时 * 分 。 

(3) 事件 对 象 : 略 。 

(4) 事件 描述 : 略 。 

(5) 造成 的 后 果 : 略 。 

(6) 攻击 类 型 : 略 。 

(7) 防御 方法 : 略 。 

(8) 经 验 体会 : 略 。 


项 目 四 服务 器 的 安全 管理 介 国 


任务 二 : 账号 安全 和 权限 管理 


在 本 任务 中 ， 我 们 要 明确 三 个 问题 ， 账 号 安全 是 最 基础 和 重要 的 安全 问题 ， 权 限 管理 
是 保证 系统 安全 的 基本 手段 ， 防 火 墙 是 对 外 防护 的 重要 屏障 。 


知识 储备 
4.5 账号 和 密码 的 安全 管理 


基本 上 ， 所 有 的 攻击 最 重要 和 核心 的 目标 ， 就 是 获得 具有 管理 权限 的 账号 ， 也 就 是 具 
有 root 权限 的 账号 和 密码 。 只 要 有 了 管理 权限 ， 攻 击 者 不 仅 可 以 完成 想 要 的 攻击 ， 还 可 以 
清理 痕迹 ， 并 留 下 后 门 ， 以 备 后 用 。 

要 保证 系统 安全 ， 首 要 的 问题 就 是 确保 账号 系统 的 安全 性 。 


4.5.1 普通 账号 的 安全 防护 


管理 账号 是 攻击 者 的 目标 ， 当 然 会 进行 严密 的 保护 。 对 于 攻击 者 来 说 ， 直 接 攻 击破 解 
管理 账号 通常 很 难 成 功 。 
因此 ， 一 般 的 攻击 模式 是 想 办 法 先 得 到 一 个 普通 账号 ， 然 后 使 用 普通 账号 进入 系统 ， 
再 寻找 系统 漏洞 ， 得 到 管理 权限 。 或 者 通过 网 络 服务 的 漏洞 渗透 到 系统 ， 此 时 ， 权 限 比较 
低 ， 也 需要 想 办 法 获得 更 高 的 权限 ， 以 便 进一步 渗透 攻击 。 

从 防护 的 角度 看 ， 要 想 防范 攻击 ， 先 要 加 强 防 御 。 

与 账号 安全 有 关 的 文件 很 多 ， 最 重要 的 就 是 /etc/passwd 文件 ， 存 放 着 用 户 账号 的 基本 
设置 信息 。 与 密码 安全 有 关 的 主要 是 /etc/shadow 文件 ， 存 放 着 加 密 后 的 密码 和 关于 密码 策 
略 的 一 些 设置 。 

例 1， 使 用 cat 命令 查看 /etc/passwd 文件 和 /etc/shadow 文件 : 


#cat /etc/passwd 
#cat /etc/shadow 


在 安装 Linux 系统 时 ， 默 认 添加 的 各 种 账号 中 ， 有 一 些 基 本 没什么 用 ， 另 外 ， 有 部 分 
服务 账号 因为 没有 启动 该 服务 ， 而 成 为 多 余 账 号 。 例 如 ， 如 果 不 使 用 SSH 服务 器 ， 那 么 
sshd 账号 就 是 多 余 账 号 ;如 果 不 使 用 FTP 服务， 那么 账号 FTP 即 为 多 余 。 

账号 越 多 ， 系 统 越 容易 受到 攻击 。 系 统管 理 员 应 该 在 第 一 次 使 用 系统 时 检查 并 删除 不 
需要 的 账号 。 

例 2， 查 看 系统 当前 运行 的 服务 : 


#systemctl list-units -type=service 
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例 3， 查 看 当前 开放 的 服务 端口 : 


#ss -antp 


有 些 服务 ， 安 装 了 但 没有 启动 ， 有 些 服务 ， 虽 然 启 动 了 ,但 是 可 能 并 不 需要 。 
在 没有 开启 相应 的 服务 的 时 候 ， 如 下 的 账号 都 可 以 删除 : adm、lIp、sync、halt、 
mail、mailnull、games、news、sshd、gopher、uucp、ftp、operator、named 等 。 


例 4， 删 除 多 余 的 账号 : 


#userdel username 


另外 ， 普 通用 户 账号 也 可 能 成 为 攻击 者 的 目标 ， 为 了 防止 被 攻击 者 利用 ， 和 暂时 不 用 的 
账号 应 该 锁定 ， 或 者 删除 ， 对 于 还 在 使 用 的 账号 ， 应 该 加 强 密码 管理 ， 要 求 使 用 较 长 的 复 
杂 密 码 。 

例 5， 锁 定 暂时 不 用 的 账号 : 


#usermod -L username 


虽然 普通 账号 不 会 对 系统 造成 很 大 的 直接 威胁 ， 却 很 可 能 成 为 攻击 者 的 踏板 ， 一 旦 被 
攻击 者 获取 利用 ， 就 很 可 能 利用 系统 漏洞 或 者 管理 缺陷 ， 获 得 系统 管理 的 权限 。 


4.5.2 ”root 账号 的 安全 防护 


在 Linux 系统 中 ， 所 有 的 管理 功能 都 能 由 root 账号 完成 ， 它 是 系统 的 超级 用 户 。 

root 账号 能 对 系统 的 所 有 资源 做 最 大 限度 的 调整 ， 还 可 以 直接 允许 或 禁用 单个 用 户 、 
一 部 分 用 户 或 所 有 用 户 对 系统 的 访问 。 

root 账号 还 可 以 控制 用 户 的 访问 权限 以 及 用 户 存放 文件 的 位 置 ， 可 以 控制 用 户 能 够 访 
问 的 哪些 系统 资源 ， 因 此 不 能 把 root 账号 当 作 普通 用 户 来 使 用 。 

在 Linux 系统 中 的 /etc/security 文件 中 ， 包 含 了 一 组 能 够 以 root 账号 登录 的 终端 名 称 。 
该 文件 的 初始 值 仅 允许 本 地 虚拟 控制 台 可 以 使 用 root 登录 ， 而 不 允许 远程 用 户 以 root 账 
号 登录 。 虽 然 可 以 通过 修改 该 文件 的 方法 ， 人 允许 root 账号 从 远程 主机 登录 ， 但 是 不 建议 这 
样 做 。 

通常 的 方法 是 先 使 用 普通 账号 从 远程 登录 Linux 主机 ， 然 后 再 使 用 su 命令 升级 为 超级 
用 户 。 当 root 账号 使 用 完毕 后 ， 再 使 用 exit 命令 注销 返回 普通 用 户 模式 。 如 果 需 要 授权 其 
他 用 户 以 root 身份 运行 某 些 命令 ， 可 以 使 用 sudo 命令 。 

sudo 命令 在 普通 用 户 模 式 下 使 用 ， 后 面 跟 着 要 执行 的 管理 指令 。 执 行 指令 前 ， 需 要 输 
入 root 的 密码 提升 到 root 权限 ， 然 后 执行 命令 。 命 令 执 行 结束 后 ， 就 不 再 具有 root 权限 ， 
这 样 ， 既 可 以 在 普通 用 户 模式 下 完成 管理 操作 ， 又 不 担心 误 操 作对 系统 造成 无 意 的 破坏 。 

sudo 使 用 的 基本 格式 如 下 : 

$sudo [需要 以 root 身份 运行 的 命令 行 ] 


由 于 sudo 命令 在 执行 时 要 输入 root 密码 ， 多 次 执行 管理 命令 时 ， 会 显得 有 些 麻 烦 。 
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在 Linux 系统 中 ， 有 一 些 应 用 程序 被 设置 了 suid 属性 。 这 些 程序 在 运行 时 ， 能 有 效 地 
将 当前 执行 该 程序 的 用 户 的 wid 改变 成 应 用 程序 所 有 者 的 wd， 使 得 应 用 程序 进程 在 很 大 程 
度 上 拥有 该 程序 所 有 者 的 特权 。 

如 果 被 设置 了 suid 属性 的 应 用 程序 归 root 所 有 ， 那 么 ， 该 进程 在 运行 时 就 会 自动 拥有 
超级 用 户 的 特权 ， 即 使 该 进程 不 是 root 用 户 启动 的 ， 如 /usr/bin/passwd 程序 。 

为 命令 设置 suid 属性 ， 可 以 让 普通 用 户 完 成 一 些 自身 相关 的 管理 功能 ， 可 以 减少 管理 
员 的 工作 量 。 

但 是 与 sudo 命令 不 同 ， 具 有 suid 属性 的 命令 在 运行 时 能 够 自动 拥有 root 权限 ， 有 可 
能 会 被 攻击 者 利用 ， 会 给 系统 带 来 一 定 的 安全 隐患 ， 因 此 除非 必须 ， 应 该 尽 可 能 减少 为 应 
用 程序 设置 suid 属性 。 

系统 管理 员 可 以 使 用 find 命令 来 查找 系统 中 所 有 被 设置 了 suid 属性 的 应 用 程序 。 

例 1， 查 找 系统 中 所 有 被 设置 了 suid 属性 的 应 用 程序 : 


#find / -perm 4000 


最 高 权限 位 为 4， 换 算 成 二 进 制 数 就 是 100， 分 别 对 应 suid 权限 、sgid 权限 和 sticky 
位 。4000 就 是 查找 suid 位 被 置 位 ， 即 拥有 suid 属性 的 命令 文件 。 

对 于 非 必要 的 被 设置 了 setuid 属性 的 应 用 程序 ， 可 以 在 终端 提示 符 下 使 用 chmod 命令 
将 其 除去 。 

例 2， 除 去 /usrbin/rcp 程序 的 suid 属性 : 


#chmod -s /usr/bin/rcp 


Linux 环境 下 的 root 用 户 权 限 非常 敏感 ， 这 也 与 Linux 的 运行 模式 有 关 。Linux 是 一 个 
开放 的 系统 ， 所 有 的 管理 操作 基本 都 是 通过 脚本 来 实现 ， 这 些 脚本 数量 庞大 ， 并 且 互 相 之 
间 关 联 很 多 。 也 许 你 只 是 想 执行 某 个 脚本 ， 但 是 ， 这 个 脚本 会 再 调用 其 他 的 脚本 ， 像 链条 
一 样 。 如 果 你 执行 脚本 时 具有 root 权限 ， 则 一 般 来 说 ， 链 条 上 的 所 有 被 执行 的 命令 都 具有 
root 权限 ， 这 很 可 能 带 来 安全 隐患 。 

这 也 是 要 求 管理 人 员 具 有 编写 脚本 能 力 的 原因 之 一 ， 如 果 看 不 懂 这 些 脚 本 ， 那 么 就 尽 
量 不 要 执行 它 ， 除 非 它 来 源 可 靠 ， 值 得 信任 。 

还 记得 那个 假设 吗 ? Linux 对 用 户 的 假设 是 : Linux 用 户 知道 自己 在 做 什么 ， 知 道 会 有 
什么 结果 ， 并 会 为 此 结果 负责 。 

明白 多 大 的 权限 ， 就 要 背负 多 大 的 责任 后 ， 我 们 就 会 慢 慢 习惯 普通 用 户 的 操作 环境 ， 
虽然 它 不 如 root 用 户 用 起 来 方便 ， 却 是 管理 员 真正 走向 成 熟 的 开端 。 


4.5.3 密码 安全 


密码 是 Linux 系统 对 用 户 进行 认证 的 主要 手段 ， 密 码 安 全 是 Linux 系统 安全 的 基石 。 
遗憾 的 是 ， 用 户 往 往 对 自己 的 密码 安全 没有 足够 的 重视 。 一 个 简单 、 易 破解 的 密码 就 等 于 
向 攻击 者 敞开 了 系统 的 大 门 ， 攻 击 者 一 旦 获得 了 用 户 账号 的 密码 ， 就 能 够 登录 ， 成 为 系统 
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的 合法 用 户 ， 长 驱 直 入 系统 内 部 。 

简单 的 密码 很 容易 被 破解 ， 一 个 好 的 密码 应 该 具备 以 下 特点 : 

@ 不 包含 个 人 信息 。 

@ 不 存在 键盘 顺序 规律 。 

不 使 用 字典 中 的 单词 。 

@ 最 好 包含 非 字母 符号 。 

@ ”长 度 不 小 于 8 位 。 

@ ”要 方便 记忆 。 

一 个 比较 常用 的 办 法 就 是 ， 先 记 住 一 句 话 ， 然 后 将 这 句 话 的 第 一 个 字母 取出 ， 再 将 标 
点 符号 加 在 字母 的 序列 中 ， 前 后 还 可 以 加 几 个 数字 ， 同 时 可 以 在 密码 中 混用 大 小 写 。 

例如 : 飞 流 直下 三 千 尺 ， 疑 是 银河 落 九 天 ! 

拼音 是 : Fei liu zhi xia san(3) qian chi, Yi shi yin he luo jiu(9) tian! 

取 每 个 字 拼 音 的 首 字母 ， 句 首 字母 大 写 ， 其 他 拼音 首 字母 小 写 ， 数 字 直 接 拿 来 ， 标 点 
符号 保留 ， 则 有 “Flzx3qc,Ysyhl9t! ”这样 的 密码 ， 如 果 靠 猿 ， 只 要 不 知道 你 的 密码 由 来 ， 
基本 上 就 不 可 能 猜 中 。 

这 样 的 密码 ， 如 果 要 靠 强 制 破解 ， 那 么 真 算 得 上 破解 者 的 路 梦 了 ! 

我 们 来 算 算 ， 密 码 长 度 为 16， 每 个 密码 有 大 写字 母 26、 小 写字 母 26、 数 字 10、 特 殊 
可 用 字符 通常 10 余 个 ， 这 么 算 下 来 ， 每 位 密码 就 有 72 种 可 能 性 ， 要 强制 破解 的 话 ， 需 要 
破解 次 数 是 7215=5.2x10”。 

即使 每 秒 能 计算 破解 1 亿 个 密码 ， 要 破解 这 么 大 数量 级 的 密码 ， 需 要 的 时 间 是 
5.2x102/105-5.2x102 秒 =1.65x10! 年 。 也 就 是 说 ， 需 要 165 万 亿 年 。 可 见 ， 破 解 这 样 的 密 
码 ， 只 存在 理论 上 的 可 能 性 。 因 此 ， 没 有 人 会 去 破解 这 样 的 密码 。 

反 过 来 比较 一 下 ， 如 果 你 用 生日 作为 密码 ， 例 如 19731203， 看 起 来 也 有 8 位 了 ， 总 的 
破解 次 数 是 10 次 ， 破 解 时 间 为 10710s=1 秒 。 

实际 情况 还 会 更 糟糕 ， 通 常人 活 不 过 100 岁 ， 那 么 前 4 位 一 般 可 以 缩减 到 一 百 甚 至 几 
十 ， 月份 只 有 12 个 ， 日 期 只 有 31 个 ， 这 样 ， 真 正 的 破解 次 数 是 100x12x31=37200 次 。 破 
解 时 间 就 没 必要 算 了 ， 和 刹那 间 就 被 破解 。 如 果 能 够 想 办 法 获得 你 的 个 人 信息 的 话 ， 那 么 破 
解 次 数 就 只 是 1 次 了 。 

密码 也 不 是 长 了 、 复 杂 了 就 一 定安 全 ， 比 如 而 kesummer， 这 个 破解 次 数 不 能 按照 522 
算 ( 大 写字 母 26+ 小 写字 母 26， 共 11 位 )， 因 为 有 一 种 密码 破解 方法 叫 字典 破解 ， 常 用 单词 
放 在 字典 文件 里 ， 互 相 组 合 ， 像 这 样 的 句子 ， 由 3 个 单词 拼 成 ， 破 解 起 来 也 是 很 快 的 。 

另外 ， 在 Linux 系统 中 ， 用 户 账号 和 密码 的 信息 都 被 保存 在 /etc/passwd 和 /etc/shadow 
文件 中 ， 组 的 信息 保存 在 /etc/group 和 /etc/gshadow 文件 中 。 

为 了 防止 攻击 者 偷 疯 用 户 和 组 信息 ， 应 该 检查 设置 这 些 文件 的 访问 权限 ， 尤 其 是 
shadow 文件 的 权限 。 这 是 因为 ， 通 常 passwd 是 任何 用 户 都 可 以 访问 的 ， 所 以 用 户 名 并 不 
是 秘密 ， 账 号 的 安全 ， 主 要 依靠 的 是 密码 ， 而 密码 是 加 密 后 存放 在 shadow 文件 中 的 。 
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#1s -1 /etc/passwd 
#1s -1 /etc/shadow 
#1s -1 /etc/group 

#1s -1 /etc/gshadow 


4.6 标准 Linux 访问 控制 与 权限 管理 
4.6.1 用 户 权限 管理 


1.” umask 掩 码 设置 与 文件 初始 权限 


(1) 查看 新 建文 件 初始 权限 。 

在 Linux 下 ， 查 看 文件 目录 的 权限 可 以 使 用 命令 “ls -1”， 其 中 “-1” 表 示 使 用 长 列表 
方式 显示 内 容 ， 此 时 ,文件 信息 的 第 一 列 就 是 权限 属性 。 

例 1， 新 建文 件 并 查看 文件 权限 设置 ， 如 图 4-1 所 示 。 


#touch filel 
#1s -1 filel 





图 4-1 新 建文 件 的 权限 


如 图 4-1 所 示 ，“-Iw-r--r--” 人 各 项 说 明 如 下 。 
中 “-” 是 文件 的 类 别 属性 ， 表 示 是 一 个 普通 文件 ， 如 果 是 “r”， 表 示 是 目录 。 
@ 接 下 来 前 三 位 是 属 主权 限 设置 ，“rw-” 表 示 属 主 有 读 写 权限 ， 无 执行 权限 。 
@ ”中 间 三 位 是 同 组 人 员 权 限 ，“r--” 表 示 只 有 读 权限 。 
@ 最 后 三 位 是 其 他 用 户 的 权限 ，“r--” 表 示 其 他 用 户 也 只 有 读 权限 。 
(2) 数字 权限 设 定 法 。 
权限 的 表示 还 有 另 一 种 简易 的 表示 方法 : 数字 法 。 
在 每 三 位 一 组 的 权限 设 定 中 : “-” 没 有 权限 ， 用 0 表示 ，“r” 读 权限 用 4 表示 ， 
“w” 写 权限 用 2 表示 ，“x” 执 行 权 限 用 1 表示 ， 然 后 将 各 个 权限 数字 相 加 。 
例 2，“rw-r--r--” 对 应 的 等 价 数字 权限 就 是 644。 
第 一 组 表示 属 主 用 户 权限 : rw-， 王 4，w=2，-=0， 所 以 权限 是 4+2+0=6。 
第 二 组 表示 同 组 用 户 权 限 : r--， 王 4，-=0，-=0， 所 以 权限 是 4+0+0=4。 
第 三 组 表示 其 他 用 户 权 限 : r--， 王 4，-=0，-=0， 所 以 权限 是 4+0+0=4。 
了 解 权 限 数 字 和 权限 的 对 应 关系 ， 就 可 以 使 用 chmod 进行 权限 设 定 了 。 
(3) 设置 文件 掩 码 。 
umask 命令 的 功能 是 设置 文件 掩 码 。 
在 不 设置 反 掩 码 的 情况 下 ， 创 建文 件 的 默认 完整 权限 是 666， 即 属 主 、 同 组 用 户 和 其 
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他 用 户 都 具备 读 写 权 限 。 如 果 是 执行 脚本 ， 可 以 进一步 添加 执行 权限 。 

创建 目录 的 默认 权限 是 “777”， 与 文件 相 比 ， 通 常 要 为 目录 设置 执行 权限 。 与 文件 
的 执行 权限 含义 不 同 ， 如 果 对 目录 没有 执行 权限 ， 那 么 对 目录 内 文件 和 子 目 录 的 读 写 都 会 
受 影响 。 

如 果 我 们 使 用 “umask 022” 设 置 文件 权限 掩 码 ， 那 么 ， 当 创建 新 文件 时 ， 初 始 权限 将 
是 644(6-0，6-2，6-2)， 即 属 主 具有 读 、 写 (rw-) 权 限 ， 同 组 用 户 和 其 他 用 户 只 具有 读 权限 
(7--); 如 果 是 创建 目录 ， 那 么 ， 目 录 初 始 权 限 将 是 755(7-0，7-2，7-2)， 即 属 主 具 有 读 、 
写 、 执 行 (rwx，7) 权 限 ， 同 组 用 户 和 其 他 用 户 具有 读 、 执 行 (r-x，5) 权 限 。 

可 以 看 出 ，umask 的 功能 就 是 当 新 建文 件 时 ， 取 消 文件 的 指定 权限 。 上 面 的 例子 里 ， 
新 建 用 户 的 同 组 用 户 写 权限 (w=2) 和 其 他 用 户 的 写 权 限 (w=2) 就 被 默认 取消 掉 了 。 

例 3， 使 用 umask 设置 反 掩 码 后 再 创建 文件 ， 查 看 初始 权限 : 


#umask 044 

#touch filel 
#1s -1 filel 
#mkdir dirl 
ls TAL 




















2. 改变 文件 属 主 和 属 组 


chown(change owner， 改 变 所 有 者 ) 命 令 功 能 是 更 改 某 个 文件 或 目录 的 属 主 和 属 组 。 

实际 工作 中 ， 我 们 会 经 常用 chown 命令 来 改变 目录 的 属 主 或 属 组 ， 来 为 用 户 授权 。 

例如 ， 你 制作 了 你 的 企业 网 站 ， 把 源 代码 放 在 testweb 目录 下 。 此 时 目录 testweb 和 下 
面 的 所 有 文件 属 主 都 是 你 。 

当 用 户 通过 网 络 访问 网 站 时 ， 肯 定 不 会 登录 Linux 系统 账号 进行 身份 验证 ， 这 样 无 论 
访问 者 的 身份 如 何 ， 只 要 是 匿名 模式 访问 Web 页 面 ， 都 将 使 用 httpd 服务 提供 的 Apache 
默认 账号 来 访问 文件 。 

此 时 ，Web 访问 就 面临 一 个 问题 ，Apache 用 户 需要 访问 你 的 文件 ， 你 为 它 提供 授权 
了 吗 ? 如 果 要 进行 授权 ， 应 该 如 何 授权 呢 ? 

通常 的 目标 是 ， 需 要 Apache 用 户 对 目录 具有 读 写 权 限 。 可 以 直接 为 其 他 用 户 角色 (o) 
添加 读 写 权 限 ， 但 是 会 带 来 额外 的 安全 问题 ， 可 以 把 Apache 用 户 加 到 你 的 组 里 面 ， 然 后 
为 组 授权 ， 也 会 有 安全 问题 ;或 者 就 是 把 此 目录 的 属 主 直接 改 成 Apache， 代 价 就 是 你 的 属 
主权 限 将 消失 。 

chown 命令 的 语法 : 

#chown [选项 ] 用 户 或 组 文件 


经 常 使 用 选项 “-R” 来 表示 递归 式 地 改变 指定 目录 及 其 下 的 所 有 子 目录 和 文件 的 属 了 
和 属 组 。 
例 1， 改 变 文件 的 所 有 者 ( 属 主 ): 


#touch testchownl 
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#1s -1 testchownl 
#chown newuserl testchownl 
#1s -1 testchownl 


命令 说 明 : root 管理 员 使 用 touch 命令 创建 新 文件 ， 使 用 “ls -1” 来 查看 文件 属 主 ， 使 
用 chown 命令 修改 文件 属 主 ， 再 使 用 “ls -1” 命 令 来 查看 修改 后 的 属 主 信息 。 
例 2， 改 变 文件 的 所 有 者 ( 属 主 ) 和 所 属 组 : 


#touch testchown2 
#1s -1 testchown2 
#chown newuserl.newtestl testchown2 
#1s -1 testchown2 


例 3， 改 变 目录 的 所 有 者 ( 属 主 )， 并 递归 改变 此 目录 下 的 所 有 文件 和 子 目 录 : 


#mkdir testchown3 
#1s -1 testchown3 
#chown newuserl testchown3 -R 
#1s -1 testchown3 





4.6.2 suid | sgid | sticky 权限 管理 


在 Linux 环境 下 ， 对 文件 的 授权 访问 是 通过 对 三 种 角色 属 主 、 组 员 、 其 他 人 的 权限 赋 
予 来 进行 管理 的 。 由 于 其 他 人 范围 太 广 ， 对 于 其 他 人 中 的 特例 赋予 ， 可 以 使 用 ACL( 访 问 
控制 列表 ) 来 提供 。 另 外 ， 为 了 防止 意外 的 访问 ，Linux 还 具有 SELinux 机 制 来 强化 访问 控 
制 。 可 以 说 ，Linux 的 权限 管理 全 面 ， 而 且 强 大 。 

事实 上 ， 除 了 基本 的 读 r、 写 w、 执 行 x 权限 外 ，Linux 还 有 三 种 特殊 权限 可 以 赋予 用 
户 ， 以 便 提 供 特 殊 情 况 下 的 授权 。 它 们 分 别 是 suid、sgid 和 sticky。 

suid 权限 是 SetUserID 的 意思 ， 被 授予 suid 权限 后 ， 当 文件 执行 时 ， 程 序 视 同 文件 属 
主 在 运行 。 这 即 是 说 ， 如 果 属 主 是 root， 那 么 ， 程 序 就 等 同 于 root 在 运行 ， 将 会 获得 最 高 
权限 。 

sgid 权限 是 SetGroupID 的 意思 ， 被 授予 sgid 权限 后 ， 当 文件 执行 时 ， 程 序 视 同文 件 
组 员 在 运行 。 这 即 是 说 ， 如 果 所 属 组 是 root， 那 么 ， 程 序 就 等 同 于 root 在 运行 。 

sticky 是 不 动 的 意思 ， 可 以 理解 为 防 删除 位 。 一 个 文件 是 否 可 以 被 某 用 户 删 除 ， 主 要 
取决 于 该 文件 所 属 的 组 是 否 对 该 目录 具有 写 权限 。 如 果 没 有 写 权 限 ， 则 这 个 目录 下 的 所 有 
文件 都 不 能 被 删除 ， 同 时 ， 也 不 能 添加 新 的 文件 ， 如 果 希 望 用 户 能 够 添加 文件 ， 但 同时 不 
能 删除 文件 ， 则 可 以 使 用 sticky。 设 置 该 权限 后 ， 就 算 用 户 对 目录 具有 写 权 限 ， 也 不 能 删 
除 文件 。 

例 1， 使 用 suid 权限 ， 注 意 suid 权限 只 作用 于 文件 : 


#touch filel file2 
#chmod uts filel 
#chmod 4755 file2 
#1s -1 file* 
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此 时 ，file 文件 属性 显示 为 rws 或 rwS，s 表示 有 x 的 权限 ，S 表示 没有 x 的 权限 。 

例 2， 使 用 sgid 权限 ， 注 意 sgid 权限 作用 于 目录 ， 在 此 目录 下 创建 的 文件 会 继承 上 一 
级 目录 的 “组 ”的 权限 : 

#mkdir dirll dirl2 

#chmod g+s dirll 

#chmod 2755 dirl2 

#1s =1 dirl* 

此 时 ， 目 录 属 性 显示 为 rws 或 rwS，s 表示 有 x 的 权限 ，S 表示 没有 x 的 权限 。 

例 3， 使 用 sticky 权限 ， 注 意 sticky 权限 作用 于 目录 ， 使 用 后 ， 用 户 在 此 目录 下 创建 
的 文件 ， 只 有 本 人 或 者 root 可 以 删除 : 


#mkdir dir21 dir22 
#chmod o+t dir21 
#chmod 1755 dir22 
#1s = Olur2. 


此 时 ， 目 录 属 性 显示 为 rwt 或 rwT，t 表 示 有 x 权限 ，T 表示 没有 x 权限 。 
例 4， 在 使 用 了 sticky 权限 的 目录 下 创建 文件 和 删除 文件 : 


#cd dir21 
#touch file211 
#23 = 

#rm file211 
Fes 


在 上 面 的 范例 中 ， 使 用 的 数字 权限 中 ， 最 前 面 数值 就 是 三 个 特殊 权限 的 相 加 ， 其 中 ， 
suid=4, sgid=2, sticky=1。 


4.6.3 ”ACL 访问 控制 管理 























在 Linux 操作 系统 中 ， 传 统 的 权限 管理 分 三 种 身份 ( 属 主 、 属 组 以 及 其 他 人 )， 搭 配 三 
种 权限 (可 读 、 可 写 以 及 可 执行 )， 并 且 搭 配 三 种 特殊 权限 (SUID、SGID、STICKY)， 来 实 
现 对 系统 的 安全 保护 。 有 时 候 ， 这 个 设置 并 不 能 满足 复杂 环境 下 的 权限 控制 需求 。 

例如 ， 当 前 有 一 个 /webdata 目录 ， 现 在 需要 A 组 成 员 能 够 可 写 ，B 组 成 员 仅 读 ，C 组 
成 员 可 读 可 写 可 执行 ， 此 时 怎么 办 呢 ? 

对 于 此 需求 ， 仅 仅 依 托 传统 的 ugoa 权限 管理 模式 ， 是 无 法 实现 的 。 

为 了 解决 该 类 型 的 问题 ，Linux 开发 出 了 一 套 新 的 文件 系统 权限 管理 方法 ， 叫 作文 件 
访问 控制 列表 (Access Control List，ACL)。 通 过 使 用 ACL， 可 以 完美 解决 如 上 类 型 的 需求 
问题 。 

ACL 访问 控制 列表 的 主要 目的 ， 是 针对 在 传统 的 三 种 身份 和 三 种 权限 之 外 ， 提 供 更 加 
细 化 的 局 部 权限 设 定 。 简 单 地 说 ，ACL 可 以 针对 单个 用 户 、 单 个 用 户 组 来 进行 权限 细 化 的 
控制 。 
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1. 确定 文件 系统 是 否 支持 ACL 

ACL 是 必须 依托 文件 系统 的 ， 并 不 是 每 个 文件 系统 都 支持 ACL。 

在 Linux 平台 上 ， 常 见 的 支持 ACL 的 文件 系统 ， 如 ext2/ext3/ext、JFS、XFS 等 ， 都 
支持 ACL 功能 。 

例 1， 查 看 你 的 分 区 /dev/sdal 是 否 支持 ACL: 

#tune2fs -1 /dev/sdal | grep options 

或 : 

#dumpe2fs /dev/vdal | grep options 

如 果 在 输出 的 信息 中 ， 默 认 挂 载 选项 中 有 acl 标识 ， 就 代表 你 的 文件 系统 是 支持 的 。 

假设 你 的 文件 系统 不 支持 或 者 支持 但 是 并 没有 显示 这 个 acl 标识 怎么 办 呢 ? 

针对 这 种 情况 ， 我 们 可 以 通过 使 用 tune2fs 来 为 他 添加 ， 或 者 通过 mount 去 添加 ， 都 
可 以 。 启 动 时 自动 挂 载 的 分 区 配置 信息 存放 在 /etc/fstab 文件 中 ， 也 可 以 直接 在 挂 载 选项 中 
添加 acl 参数 ， 在 启动 挂 载 分 区 时 ， 自 动 开启 ACL 支持 。 

例 2， 为 分 区 启用 ACL 功能 : 


#tune2fs -oO acl /dev/sdal 








2. 使 用 ACL 进行 授权 管理 
ACL 的 相关 的 操作 主要 有 3 个 命令 ， 分 别 是 getfacl、setfacl 和 chacl， 如 表 4-1 所 示 。 
常用 的 主要 是 getfacl 和 setfacl。 
表 4-1 ACL 命令 


功能 说 明 
查看 文件 /目录 的 ACL 设 定 内 容 


setfacl 设置 文件 /目录 的 ACL 内 容 
查看 和 更 改 文件 /目录 的 ACL 内 容 





例如 ， 查 看 文件 /目录 的 ACL 设 定 内 容 : 


#getfacl /tmp 
#getfacl /etc/passwd 


setfacl 是 主要 的 ACL 操作 命令 ， 功 能 选项 很 多 。 
setfacl 的 使 用 语法 如 下 : 
#setfacl [-bkRd] [{-ml-x} acl 参数 ] 文件 /目录 路 径 


setfacl 的 选项 介绍 如 表 4-2 所 示 。 


-(263 \. 


mm Linux 网 络 操作 系统 项 目 教程 


表 4-2 setfacl 选项 





























选 项 功能 介绍 
-b 删除 所 有 的 acl 参数 
-k 删除 预 设 的 acl 参数 
-及 递归 设置 后 面 的 acl 参数 
-d 设置 预 设 的 acl 参数 (只 对 目录 有 效 ， 在 该 目录 新 建 的 文件 也 会 使 用 此 ACL 默认 值 ) 
-m 设置 (修改 ) 后 面 的 acl 参数 
-x 删除 后 面 指定 的 acl 参数 





ACL 参数 主要 由 3 部 分 组 成 ， 组 成 结构 如 表 4-3 所 示 。 
表 4-3 setfacl 参数 说 明 


ulglo 用 户 名 | 用 户 组 名 rwx 
三 种 身份 对 应 身份 名 三 种 权限 








3. ACL 操作 实例 


(1) 建立 测试 目录 /testdir， 在 目录 下 添加 测试 文件 test 和 目录 dir， 它 们 的 权限 都 是 
600， 属 主 和 属 组 都 是 root: 


#mkdir /testdir 
#cd /testdir 
#touch test 
#mkdir dir 
#chmod 600 test 
#chmod 600 dir 
#5 = 


(2) 添加 测试 用 户 testuserl 和 testuser2: 


#useradd testuserl 
#passwd testuserl 
#useradd testuser2 
#passwd testuser2 


(3) 为 文件 test 增加 ACL 权限 ， 使 testuserl 用 户 可 以 可 读 可 写 : 


#setfacl -m u:testuserl:rw test 
#getfacl test 


(4) 切换 到 testuserl 用 户 下 ， 进 行 测 试 : 


#su - testuserl 

$echo "Hello,testuserl.">> /testdir/test 
$cat /testdir/testl 

Sexit 
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此 时 testuserl 用 户 应 该 能 写 入 文件 数据 ， 也 能 读 文 件数 据 。 
(5) 为 文件 test 增加 ACL 权限 ， 使 testuser2 组 (创建 testuser2 用 户 默认 添加 testuser2 
组 ) 的 所 有 用 户 都 能 读 该 文件 : 


#setfacl -m g:testuser2:r test 
#getfacl test 


(6) 切换 到 testuser2 用 户 下 ， 进 行 测试 : 

#su - testuser2 

$cat /testdir/test 

$echo "testuser2-group ACL test.">> /testdir/test 

由 于 testuser2 组 成 员 只 有 读 权限 ， 因 此 可 以 查看 文件 内 容 ， 但 不 能 更 改 和 添加 。 

(7) 为 目录 dir 增加 ACL 权限 ， 使 testuser2 组 的 所 有 用 户 都 能 够 对 该 目录 可 读 、 可 
写 、 可 执行 : 

#setfacl -m g:testuser2:rw dir 

#getfacl dir 


(8) 切换 到 testuser2 用 户 下 ， 进 行 测试 : 


#su - testuser2 

$echo "date">> /testdir/dir/dirtest.sh 
$bash /testdir/dir/dirtest.sh 

Sexit 


testuser2 对 目录 的 权限 是 可 读 写 执 行 ， 所 以 操作 正常 。 
(9) 删除 文件 test 上 关于 testuser2 组 的 ACL 权限 : 


#setfacl -x g:testuser2 test 
#getfacl test 


(10) 删除 目录 dir 的 所 有 ACL 权限 : 


#setfacl -b dir 
#getfacl dir 


(11) 为 目录 dir 增加 了 默认 的 ACL 权限 ， 使 dir 目录 下 新 创建 的 文件 或 目录 都 默认 拥 
有 testuser2 用 户 可 读 、 可 写 、 可 执行 权限 : 


#setfacl -d -R -m u:testuser2:rwx dir 
#getfacl dir 

#touch /testdir/dir/testfile 

#getfacl /testdir/dir/testfile 


(12) 切换 到 testuser2 用 户 下 ， 进 行 测试 : 


#su =- testuser2 

Secho "date">> /testdir/dir/testfile 
$cat /testdir/dir/testfile 

$bash /testdir/dir/testfile 

Sexit 
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4.7 ”SELinux 高 级 访问 控制 
4.7.1 SELinux 安全 管理 简介 


1，SELinux 介绍 


Linux 安全 强化 (Security-Enhanced Linux，SELinux) 是 一 个 安全 体系 结构 ， 它 通过 LSM 
(Linux Security Modules) 框 架 被 集成 到 Linux 内 核 中 ， 提 供 了 强大 的 安全 保护 。 

SELinux 提供 了 一 种 灵活 的 强制 访问 控制 MAC) 系 统 ， 它 定义 了 系统 中 每 个 “用 
户 ”、“ 进 程 ”、“ 应 用 ”和 “文件 ”的 访问 和 转变 的 权限 ， 然 后 它 使 用 一 个 安全 策略 来 
控制 这 些 实体 (用 户 、 进 程 、 应 用 和 文件 ) 之 间 的 交互 ， 安 全 策略 指定 如 何 严 格 或 宽松 地 进 
行 检查 。 

SELinux 由 两 部 分 组 成 : 内 核 模块 和 用 户 态 工具 。 

在 SELinux 系统 中 ， 每 个 文件 、 目 录 、 网 络 端口 等 都 被 指定 一 个 安全 上 下 文 ， 策 略 
(policy) 则 给 出 各 安全 上 下 文 之 间 的 作用 规则 。 

SELinux 根据 策略 及 安全 上 下 文 (security contexb 规 则 来 决定 存 取 行为 是 否 可 执行 ， 对 
于 每 条 策略 和 安全 上 下 文 ， 包 括 主体 、 客 体 以 及 对 应 的 策略 内 容 设 定 ，Subject( 主 体 ) 是 系 
统 进程 ， 比 如 /usr/sbin/httpd; Object( 客 体 ) 是 被 存 取 的 项 目 ， 比 如 File、Directory、IP、 
Socket 等 。 如 果 SELinux 审核 不 通过 ， 则 此 操作 就 被 禁止 。 

只 有 同时 满足 了 “标准 Linux 访问 控制 ”和 “SELinux 访问 控制 ”时 ， 主 体 才 能 访问 
客体 。 

2，Linux 标准 访问 控制 权限 管理 存在 的 弱点 


比 起 Windows 来 说 ， 虽 然 Linux 的 可 靠 性 、 稳 定性 要 好 得 多 ， 但 是 和 其 他 的 Unix 一 
也 存在 以 下 这 些 不 足 之 处 。 
(1) 存在 特权 用 户 root 
root 作为 Linux 系统 的 管理 账号 ， 拥 有 最 高 的 权限 ， 可 以 完成 一 切 功能 。 这 也 意味 
着 ,任何 人 只 要 得 到 root 的 权限 ， 对 于 整个 系统 都 可 以 为 所 欲 为 。 矛 过 于 锋利 ， 盾 就 很 难 
有 效 防 御 了 。 
因此 ， 对 了 矛 的 使 用 就 要 尽量 限制 。 例 如 日 常 操作 使 用 普通 用 户 账号 、 使 用 sudo 命令 进 
行 管理 、 设 置 suid 命令 等 方法 ， 都 是 这 个 目的 。 

(2) 对 于 文件 的 访问 权 的 划分 不 够 细 。 

在 Linux 系统 里 ， 对 于 文件 的 操作 ， 只 有 属 主 、 同 组 用 户 、 其 他 用 户 这 3 类 的 划分 ， 
而 对 于 “其 他 ”这 一 类 里 的 用 户 ， 再 详细 划分 就 没有 办 法 了 。 
在 日 常 工 作 中 ， 经 常 需要 临时 为 某 些 用 户 提 供 相 关 的 权限 。 如 果 直 接 加 入 组 给 予 组 权 
限 的 话 ， 明 显 高 了 ， 可 能 造成 意外 的 访问 ， 危 及 安全 。 例 如 只 允许 某 用 户 获得 部 分 文件 的 
临时 访问 权 ， 加 入 组 ， 就 会 具备 组 成 员 对 组 中 所 有 文件 的 访问 权 。 


若 











.( 266 \， 


项 目 四 “服务 器 的 安全 管理 合 国 


访问 控制 列表 (Access Control List，ACL) 功 能 可 以 提供 对 部 分 文件 的 临时 授权 ， 可 以 
授权 管理 。 

(3) suid 程序 的 权限 升级 。 

suid 命令 让 普通 用 户 可 以 完成 一 些 管理 相关 的 功能 ， 通 过 临时 提升 到 root 权限 ， 解 决 
权限 不 足 问题 ， 命 令 执行 完毕 ， 退 出 后 还 是 原来 的 用 户 权限 。 但 是 ， 如 果 设 置 了 suid 权限 
的 程序 有 了 漏洞 的 话 ， 很 容易 被 攻击 者 所 利用 ， 从 而 获得 root 权限 。 这 也 是 最 常见 的 窃取 
root 权限 的 方法 之 一 。 

(4) 自主 访问 控制 (Discretionary Access Control，DAC) 问 题 。 

传统 的 Linux 权限 管理 ， 是 自主 访问 控制 模式 。 文 件 目录 的 所 有 者 可 以 对 文件 进行 所 
有 的 操作 ， 并 根据 需要 ， 为 其 他 用 户 进行 授权 。 

这 种 授权 模式 ， 简 捷 有 效 。 但 是 从 系统 管理 的 角度 来 说 ， 却 不 是 一 件 好 事 。 因 为 文件 
所 有 者 的 任意 设置 可 能 会 带 来 安全 隐患 。 就 像 水 桶 原理 ， 安 全 管理 的 效果 ， 并 不 取决 于 最 
高 的 那 块 板 ， 能 存 多 少 水 ， 是 由 最 低 的 那 块 板 决定 的 。 自 主 访问 控制 未 必 不 安全 ， 但 是 至 
少 不 可 控 ， 这 就 为 安全 管理 埋 下 了 隐患 。 

对 于 这 些 权限 管理 中 存在 的 不 足 ， 外 界 安全 防护 措施 ， 如 防火 墙 ， 入 侵 检 测 系统 都 是 
无 能 为 力 的 。 要 解决 这 些 问题 ， 还 是 要 加 强 自身 才 行 。 

SELinux 可 以 很 好 地 解决 以 上 问题 。 它 是 一 种 基于 “ 域 -类 型 ”模型 (domain-type) 的 强 
制 访问 控制 (MAC) 安 全 系统 ， 采 用 基于 角色 的 访问 控制 概念 。 在 SELinux 安全 体系 下 ， 每 
个 角色 都 有 自己 的 授权 范围 和 授权 类 型 ， 超 出 此 范围 和 类 型 的 操作 将 被 拒绝 。 

从 安全 策略 的 角度 上 ，SELinux 的 设置 属于 默认 拒绝 的 策略 。 如 果 没 有 设置 允许 ， 角 
色 就 不 能 做 任何 事情 ， 这 样 的 设置 安全 起 点 就 很 高 。 策 略 设置 也 可 以 使 用 定义 好 的 模板 ， 
既 避 免 了 管理 员 可 能 的 策略 设计 错误 ， 也 减少 了 管理 者 的 工作 量 和 管理 难度 。 

3. SELinux 的 核心 功能 


SELinux 系统 比 起 通常 的 Linux 系统 来 ， 安 全 性 能 要 高 得 多 ， 它 通过 对 于 用 户 、 进 程 
权限 的 最 小 化 ， 即 使 受到 攻击 ， 进 程 或 者 用 户 权 限 被 夺 去 ， 也 不 会 对 整个 系统 造成 重大 的 
影响 。 

(1) MAC(Mandatory Access Control) 对 访问 的 控制 彻底 化 。 

对 于 所 有 的 文件 、 目 录 、 端 口 之 类 资源 的 访问 ， 基 于 策略 设 定 进行 管理 ， 由 于 这 些 策 
略 是 由 管理 员 定 制 的 ， 一 般 用 户 没 有 权限 更 改 ， 因 此 ， 只 需要 对 于 进程 赋予 最 小 的 权限 ， 
就 可 以 保证 安全 。 

最 少 的 服务 + 最 小 的 授权 = 最 大 的 安全 。 

(2) TE(Type Enforcemenb 对 于 进程 只 赋予 最 小 的 权限 。 

SELinux 使 用 “ 域 -类 型 ”工作 模式 ， 实 施 基于 角色 的 访问 控制 。TE 的 特点 是 对 所 有 
的 文件 都 赋予 一 个 叫 type 的 文件 类 型 标签 ， 对 于 所 有 的 进程 也 赋予 各 自 的 一 个 叫 domain 
的 标签 。domain 标签 能 够 执行 的 操作 是 在 策略 里 定好 的 。 

例如 Apache 服务 器 ， 服 务 进 程 httpd 只 能 在 httpd t 里 运行 ， 这 个 httpd_t 的 域 能 执行 
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的 操作 ， 包 括 读 网 页 内 容 文 件 赋予 httpd_sys_content t、 密 码 文件 赋予 shadow t、TCP 的 
80 端口 赋予 http_port t 等 。 如 果 在 策略 设置 中 不 允许 http_t 来 对 http_port t 进行 操作 的 
话 ，Apache 启动 都 启动 不 了 。 反 过 来 说 ， 我 们 只 人 允许 80 端口 ， 只 人 允许 读 取 被 标 为 
httpd_sys_content t 的 文件 ，httpd_t 就 不 能 用 别 的 端口 ， 也 不 能 更 改 那些 被 标 为 httpd_sys_ 
content t 的 文件 (read only)。 

简单 地 说 ， 就 是 一 把 钥匙 开 一 把 锁 ， 拿 错 了 钥匙 ， 就 开 不 了 锁 。 

(3) 域 迁移 ， 防 止 权限 升级 。 

在 Linux 环境 下 ， 有 大 量 的 脚本 ， 如 果 某 一 个 脚本 里 面 被 添加 了 非法 指令 ， 通 常 你 是 
无 法 察觉 的 ， 因 为 你 没有 透视 眼 ， 也 因为 文件 内 容 很 多 ， 混 在 里 面 的 指令 很 不 起 眼 。 

假如 你 是 root 用 户 ， 执 行 了 这 个 脚本 ， 自 然 此 非法 指令 也 就 被 执行 了 。 可 怕 的 是 ， 此 
时 ， 这 个 非法 指令 继承 了 你 的 root 的 权限 ， 它 无 论 做 什么 都 不 会 被 阻碍 了 。 

为 了 防止 权限 继承 导致 的 权限 升级 ， 在 SELinux 中 ， 可 以 通过 域 迁移 来 进行 预防 。 

例如 ， 在 用 户 环境 里 运行 点 对 点 下 载 软件 azureus， 你 当前 的 域 是 甸 t， 从 SELinux 的 
角度 看 ， 你 的 权限 范围 是 包 t， 通 俗 地 说 ， 你 具备 的 权限 远 不 是 只 能 执行 azureus 命令 。 

但 是 ， 你 考虑 到 安全 问题 ， 打 算 让 程序 在 azureus t 里 运行 (最 少 而 够 用 的 权限 )， 你 要 
是 在 终端 里 用 命令 启动 azureus 的 话 ， 它 的 进程 的 域 就 会 默认 继承 你 实行 的 Shell 的 包 t。 
有 了 域 迁移 的 话 ， 我 们 就 可 以 让 azureus 在 我 们 指定 的 azureus t 里 运行 ， 在 安全 上 
这 种 做 法 更 可 取 ， 它 不 会 影响 到 你 的 血 _t。 
下 面 是 域 迁移 的 例子 : 


domain auto trans(fu t,azureus exec t,azureus 七 ) 


说 明 : 域 自动 传递 (Shell 域 ， 命 令 azureus 执行 ， 自 动 被 传递 到 azureus 域 )。 

意思 是 在 血 t 域 里 执行 了 标 为 azureus_exec t 的 文件 时 ， 域 从 fn _t 迁移 到 azureus te。 

(4) RBAC(Role Base Access Control， 基 于 角色 的 最 小 权限 赋予 )。 

对 于 用 户 来 说 ， 被 划分 成 一 些 角 色 ， 即 使 是 ROOT 用 户 ， 你 要 是 不 在 sysadm r 里 ， 
也 还 是 不 能 实行 sysadm t 管理 操作 的 。 因 为 ， 哪 些 角 色 可 以 执行 哪些 domain 也 是 在 策略 
里 设 定 的 。 角 色 也 是 可 以 迁移 的 ， 但 是 也 只 能 按 策略 规定 的 迁移 。 

在 SELinux 中 没有 root 这 个 概念 ， 安 全 策略 是 由 管理 员 来 定义 的 ， 任 何 软件 都 无 法 取 
代 它 。 这 意味 着 那些 潜在 的 恶意 软件 所 能 造成 的 损害 可 以 被 控制 在 最 小 。 一 般 情况 下 ， 只 
有 非常 注重 数据 安全 的 企业 级 用 户 才 会 使 用 SELinux。 

4. 关于 自主 访问 控制 和 强制 访问 控制 

访问 控制 有 两 类 类 型 : 自主 访问 控制 (DAC) 和 强制 访问 控制 (MAC)。 标 准 Linux 安全 
是 一 种 DAC， 而 SELinux 为 Linux 增加 了 一 个 灵活 的 和 可 配置 的 MAC。 

所 有 DAC 机 制 都 有 一 个 共同 的 弱点 ， 就 是 它们 不 能 识别 自然 人 与 计算 机 程序 之 间 最 
基本 的 区 别 。 简 单 点 说 就 是 ， 如 果 一 个 用 户 被 授权 允许 访问 ， 意 味 着 程序 也 被 授权 访问 ， 
如 果 程 序 被 授权 访问 ， 那 么 恶意 程序 也 将 有 同样 的 访问 权 。 
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DAC 最 根本 的 弱点 是 主体 容易 受到 多 种 多 样 的 恶意 软件 的 攻击 ，MAC 就 是 避免 这 些 
攻击 的 安全 机 制 ， 大 多 数 MAC 特性 组 成 了 多 层 安全 模型 。 

SELinux 实现 了 一 个 更 灵活 的 MAC 形式 ， 叫 作 类 型 强制 (Type Enforcement，TE) 和 一 
个 非 强 制 的 多 层 安全 形式 (Multi-Level Security，MLS)。 

5. 类 型 强制 的 安全 上 下 文 (Type Enforcement Security Context) 

(1) 安全 上 下 文 简介 。 

安全 上 下 文 是 一 个 简单 的 、 一 致 的 访问 控制 属性 ， 在 SELinux 中 ， 类 型 标识 符 是 安全 
上 下 文 的 主要 组 成 部 分 。 

一 个 进程 的 类 型 通常 被 称 为 一 个 域 (domain)， 在 安全 上 下 文中 称 为 TYPE。 

系统 根据 PAM 子 系统 中 的 pam_selinux.so 模块 设 定 登录 者 运行 程序 的 安全 上 下 文 ; 文 
件 的 安全 上 下 文 规则 如 下 。 

@ rpm 包 安装 的 : 会 根据 rpm 包 内 记录 来 生成 安全 上 下 文 。 

@ 手动 创建 的 文件 : 会 根据 policy 中 的 规定 来 设置 安全 上 下 文 。 

@ cp: 会 重新 生成 安全 上 下 文 。 

@ mv: 安全 上 下 文 则 不 变 。 

SELinux 对 系统 中 的 许多 命令 做 了 修改 ， 通 过 添加 一 个 -Z 选项 显示 客体 和 主体 的 安全 











下 区。 
例 1， 显 示 Shell 的 安全 上 下 文 : 
# d= 
例 2， 检 查 进程 的 安全 上 下 文 : 
#ps -2Z 
例 3， 检 查 文件 、 目 录 的 安全 上 下 文 : 
#1s -2Z 


(2) 安全 上 下 文 格式 。 

所 有 操作 系统 访问 控制 都 是 以 关联 的 客体 和 主体 的 某 种 类 型 的 访问 控制 属性 为 基础 
为。 在 SELinux 中 ， 访 问 控 制 属性 叫 作 安 全 上 下 文 。 所 有 客体 (文件 、 进 程 间 通信 通道 、 套 
接 字 、 网 络 主机 等 ) 和 主体 (进程 ) 都 有 与 其 关联 的 安全 上 下 文 。 

一 个 安全 上 下 文 由 三 部 分 组 成 : 用 户 、 角 色 和 类 型 标识 符 ， 如 图 4-2 所 示 。 常 常用 下 
面 的 格式 指定 或 显示 安全 上 下 文 : 


USER: ROLE : TYPE [LEVEL[: CATEGORY]] 
# 1s -2 /root/anaconda-ks.cfg 




















[root@liux ]# ls -Z Arootvanaconda-ks .cfg 


rw . root root system u:object_r:admin_home_t:s8 





4-2 SELinux 安全 上 下 文 
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@ USER。 

user identity: 类 似 Linux 系统 中 的 UID， 提 供 身份 识别 ， 用 来 记录 身份 ， 是 安全 上 下 
文 的 一 部 分 。 有 三 种 常见 的 user。 

user u: 普通 用 户 登录 系统 后 的 预 设 。 

system_u: 开机 过 程 中 系统 进程 的 预 设 。 

root: root 登录 后 的 预 设 。 

在 targeted policy 中 users 不 是 很 重要 ; 在 strict policy 中 比较 重要 ， 所 有 预 设 的 
SELinux Users 都 是 以 “_u” 结 尾 的 ，root 除外 。 

@ ROLE。 

文件 、 目 录 和 设备 的 role: 通常 是 object_r。 

程序 的 role: 通常 是 system r。 

用 户 的 role: targeted policy 为 system r; strict policy 为 sysadm r、staff r、user T。 

用 户 的 role 类 似 系统 中 的 GID， 不 同 角色 具备 不 同 的 权限 ; 用 户 可 以 具备 多 个 role; 
但 是 ， 同 一 时 间 内 只 能 使 用 一 个 role。 

@@ TYPE。 

type: 用 来 将 主体 (subject) 和 客体 (object) 划 分 为 不 同 的 组 ， 给 每 个 主体 和 系统 中 的 客体 
定义 了 一 个 类 型 ， 为 进程 运行 提供 最 低 的 权限 环境 。 

当 一 个 类 型 与 执行 中 的 进程 相关 联 时 ， 其 type 也 称 为 domain。 

type 是 SElinux security context 中 最 重要 的 部 位 ， 是 SELinux Type Enforcement 的 心 
脏 ， 预 设 值 以 t 结尾。 

@ LEVEL 和 CATEGORY。 

定义 层次 和 分 类 ， 只 用 于 mls 策略 中 。 

LEVEL: 代表 安全 等 级 ， 目 前 已 经 定义 的 安全 等 级 为 s0-s15， 等 级 越 来 越 高 。 

CATEGORY: 代表 分 类 ， 目 前 已 经 定义 的 分 类 为 c0-c1023 。 


6. 类 型 强制 访问 控制 (TE) 


在 SELinux 中 ， 所 有 访问 都 必须 明确 授权 ，SELinux 默认 不 允许 任何 访问 ， 不 管 
Linux 用 户 / 组 ID 是 什么 。 这 就 意味 着 在 SELinux 中 ， 没 有 默认 的 超级 用 户 了 。 

与 标准 Linux 中 的 root 不 一 样 ， 通 过 指定 主体 类 型 ( 即 域 ) 和 客体 类 型 使 用 allow 规则 授 
予 访问 权限 ，allow 规则 由 4 部 分 组 成 。 

(1) 源 类 型 (Source types): 通常 是 尝试 访问 的 进程 的 域 类 型 。 

(2) 目标 类 型 (Target types): 被 进程 访问 的 客体 的 类 型 。 

(3) 客体 类 别 (Object classes): 指定 允许 访问 的 客体 的 类 型 。 

(4) 许可 (Permissions): 象征 目标 类 型 允许 源 类 型 访问 客体 类 型 的 访问 种 类 。 

例如 : 


allow user t bin t : file {read execute getattr}; 
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这 个 例子 显示 了 TE allow 规则 的 基础 语法 ， 这 个 规则 包含 了 两 个 类 型 标识 符 : 源 类 型 
(或 主体 类 型 或 域 juser t， 目 标 类 型 (或 客体 类 型 )bin t。 标 识 符 file 是 定义 在 策略 中 的 客体 
类 别名 称 (在 这 里 ， 表 示 一 个 普通 的 文件 )， 大 括号 中 包括 的 许可 是 文件 客体 类 别 有 效 许可 
的 一 个 子 集 ， 这 个 规则 解释 为 : 拥有 域 类 型 user t 的 进程 可 以 读 / 执 行 或 获取 具有 bin t 类 
型 的 文件 客体 的 属性 。 

SELinux allow 规则 在 SELinux 中 是 授予 访问 权 的 ， 要 保证 数 以 万 计 的 访问 正确 授权 ， 
只 授予 最 少 而 又 够 用 的 权限 ， 实 现 尽 可 能 的 安全 ， 是 一 件 艰 巨 的 任务 。 

7. 对 比 SELinux 和 标准 Linux 的 访问 控制 属性 


在 标准 Linux 中 ， 主 体 的 访问 控制 属性 是 与 进程 通过 在 内 核 中 的 进程 结构 关联 的 真实 
有 效 的 用 户 和 组 ID， 这 些 属 性 通过 内 核 利 用 大 量 工 具 进行 保护 ， 包 括 登 录 进 程 和 setuid 程 
序 ， 对 于 客体 (如 文件 )， 文 件 的 inode 包括 一 套 访问 模式 位 、 文 件 用 户 和 组 ID 。 以 前 的 访 
问 控制 基于 读 / 写 /执行 这 三 个 控制 位 ， 文 件 所 有 者 、 文 件 所 有 者 所 属 组 、 其 他 人 各 一 套 。 
在 SELinux 中 ， 访 问 控制 属性 总 是 安全 上 下 文 三 人 组 (用 户 : 角色 : 类 型 ) 形 式 ， 所 有 
客体 和 主体 都 有 一 个 关联 的 安全 上 下 文 。 需 要 特别 指出 的 是 ， 因 为 SELinux 的 主要 访问 控 
制 特性 是 类 型 强制 ， 安 全 上 下 文中 的 类 型 标识 符 决定 了 访问 权 。 
逊 注意 : ”SELinux 是 在 标准 Linux 基础 上 增加 了 类 型 强制 (Type Enforcement，TE)， 这 
就 意味 着 标准 Linux 和 SELinux 访问 控制 都 必须 满足 先 要 能 访问 一 个 客体 。 
例如 ， 如 果 我 们 对 某 个 文件 有 SELinux 写 入 权限 ， 但 我 们 没有 该 文件 的 w 
许可 ， 那 么 ， 我 们 也 不 能 写 该 文件 。 


表 4-4 总 结 了 标准 Linux 和 SELinux 之 间 访 问 控制 属性 的 对 比 。 
表 4-4 SELinux 和 标准 Linux 的 差异 


SsELinux 
进程 安全 属性 真实 有 效 的 用 户 和 组 ID 安全 上 下 文 


客体 安全 属性 访问 模式 、 文 件 用 户 和 组 ID 安全 上 下 灾 
进程 用 户 /组 ID 和 文件 的 访问 模式 ， 此 访问 模 | 在 进程 类 型 和 文件 类 型 之 间 
式 基于 文件 的 用 户 /组 ID 允许 的 许可 





访问 控制 基础 


4.7.2 ”SELinux 配置 


1. SELinux 配置 文件 


SELinux 配置 文件 是 位 于 /etc/ 目 录 下 的 /etc/sysconfig/selinux 文件 ， 此 文件 是 一 个 符号 
连接 ， 真 正 的 配置 文件 为 /etc/selinux/config。 
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配置 SELinux 时 可 直接 编辑 此 配置 文件 ，/etc/sysconfig/selinux 中 包含 如 下 配置 选项 : 
@ ”打开 或 关闭 SELinux。 

@ 设置 系统 执行 哪 一 个 策略 (policy)。 

@ 设置 系统 如 何 执行 策略 (policy)。 

配置 文件 内 容 设置 选项 如 下 。 

(1) SELINUX 选项 设置 SELinux 的 工作 状态 : 





SELINUX=enforcing|permissiveldisabled 

enforcing: 强制 访问 控制 。 

permissive: 警告 但 是 不 会 拒绝 执行 。 

disabled: 禁止 SELinux。 

(2) SELINUXTYPE 设置 SELinux 执行 哪 一 个 安全 策略 : 


SELINUXTYPE=targeted|strict 


targeted: 根据 target( 目 标 ) 保 护 常见 的 网 络 服务 ， 为 SELinux 默认 值 。 
strict: 对 SELinux 执行 完全 的 保护 。 
targeted 策略 根据 target 的 设置 来 进行 安全 保护 。 可 使 用 getsebool 查看 具体 设置 ， 使 


用 setsebool 设置 每 个 服务 的 布尔 值 。 


strict 策略 为 所 有 的 subjects 和 objects 定义 安全 环境 ， 且 每 一 个 Action 由 策略 执行 服 


务 器 处 理 。 提 供 符合 Role-based-Access Control(RBAC) 的 策略 设置 ， 具 备 完整 的 保护 功 
能 ， 保 护 网 络 服务 、 一 般 指令 及 应 用 程序 。 


(3) SETLOCALDEFS 控制 如 何 设置 本 地 定义 (users and booleans): 
SETLOCALDEFS=011 

1: 定义 由 1load policy 控制 ，load policy 来 自 于 文件 /etc/selinux/<policyname>。 
0: 由 semanage 控制 。 

例 1， 查 看 /etc/sysconfig/selinux 配置 文件 内 容 ， 如 图 4.3 所 示 。 


#cat /etc/sysconfig/selinux 


[root@liwaegong1 cat /etc/sysconf ig/selinux 


WH This file control the tate of SELinux on the 
WW SELINUX= can take one of these three value 
enforcing - SELinux security policy i 


ive inux prints warning 
No SELinux policuy is loaded 


E= can take one of three two 、 
are Pr 
mim imum ion of targeted pe a nl 
mls - Multi Level Security protection 
SEL INUXTYPE=targeted 





图 4-3 ”SELinux 配置 文件 
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例 2， 查 看 /etc/selinux/ 目 录 ， 如 图 4-4 所 示 。 


#1s -1 /etc/selinux/ 


[root@liuxuegong1 ~“]# 


conf ig 
manage .conf 


root 





图 4-4 SELinux 配置 目录 下 的 文件 
/etc/selinux/ 是 存放 所 有 策略 文件 和 主要 配置 文件 的 目 
2.，SELinux 基本 配置 命令 


例 1， 使 用 /usr/sbin/setenforce 修改 SELinux 的 运行 模式 : 





#setenforce 1 

SELinux 以 强制 (enforcing) 模式 
#setenforce 0 

SELinux 以 警告 (permissive) 模式 运行 





例 2， 使 用 sestatus -v 显示 系统 的 详细 状态 ， 如 图 4-5 所 示 。 


#/usr/sbin/sestatus -Vv 


[rootB@liuxuegongl * status -vu 
| 
moumt : 
root directory: 
Loaded policy name: 
t mode: 
from config file: 
sy MLS stati enabled 
denu_umknoum statt allowed 


unconf ined_u :unconf ined_r :unconf ine 


tem u: tem_r 





图 4-5 SELinux 状态 
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例 3， 使 用 getsebool 查看 所 有 布尔 值 ， 如 图 4-6 所 示 。 


#getsebool -a 

#getsebool -a | grep httpd | grep on$ 
#getsebool -a | grep httpd | grep off$ |wc -1 
#getsebool -a | wc -1 








CrootB@liuxuegong1 ~]# getsebo a igrep httpdigrep on$ 
httpd_builtin_scripting 
httpd_enable_cgi --> 

1_shutdown - 


gong1 ~]# getseboo igrep httpdigrep offSiwuc -1 
39 
[rootB@liuxuegong1 ~]# getsebool iwc -1 
381 





4-6 SELinux 查看 bool 值 


例 4， 使 用 setsebool 设置 目标 的 bool 值 ， 如 图 4-7 所 示 。-P 参数 指 永久 性 设置 。 


小 


#setsebool -P httpd enable cgi=false 
#getsebool -a | grep httpd enable cgi 
#5setsebool httpd enable cgi=true 

#getsebool -a | grep httpd enable cgi 


[rootBliuxuegong1 ~]# getsebool -a igrep httpd_enable_cgi 
> off 

[root@liwaegongl ~]# setsebool httpd_enable_cgi=true 

[TT 
> on 





图 4-7 SELinux 设置 bool 值 


例 5， 使 用 chcon 修改 文件 、 目 录 的 安全 上 下 文 ， 用 restorecon 恢复 ， 如 图 4-8 所 示 。 


#touch test.txt 

#1s --context test.txt 
#chcon -t etc 七 test.txt 
#1s -12 test.txt 
#restorecon test.txt 

#1s =12 test.txt 


[nT 
[rootBliwaegongl ~]# 1 

root root unconf ine 
[root@liwaegongl ~]# chcon -t et 
[TE 


I ot ri 


CrootBl iuxuegong1 ~]## 
CrootBliuxuegong1 ~]# 1s 
rw root root unconf ined_u:object_r:admin_home_t:sB test.txt 








图 4-8 ” ”SELinux 更改 安 全 上 下 文 




















chcon 命令 可 以 更 改 目 标的 安全 上 下 文 ， 其 中 -u [user] 选 项 改变 用 户 ，-r [role] 选 项 改变 
角色 ，-t [type] 改 变 域 ，-R 选项 对 目录 下 的 文件 和 子 目 录 进 行 递 归 操作 。restorecon 命令 可 
以 恢复 目标 的 安全 上 下 文 。 
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任务 三 : 防火 墙 管理 


在 本 任务 中 ， 我 们 要 关注 三 个 问题 : 防火墙 是 什么 ? 为 什么 要 使 用 防火 墙 ? 怎么 配置 
和 管理 防火 墙 ? 


知识 储备 
4.8 防火 墙 (Firewall) 是 什么 /为 什么 要 使 用 防火 墙 


当 网 络 中 不 同 区 域 安全 需求 不 同时 ， 就 需要 使 用 防火 墙 。 防 火 墙 布置 在 不 同安 全 区 域 
之 间 ， 区 域 间 的 数据 流 都 必须 经 过 防火 墙 ， 由 防火 墙 进行 审核 。 例 如 ， 企 业内 网 ， 互 相信 
任 ， 不 需要 设置 太 多 的 安全 防御 手段 ， 应 尽量 提升 可 用 性 ;外 界 互 联网 则 鱼龙混杂 ， 通 常 
无 法 信任 ， 需 要 进行 验证 审核 和 防护 。 二 者 安全 需求 差异 巨大 ， 所 以 ， 在 企业 内 网 和 外 界 
互联 网 间 ， 通 常 都 要 设置 防火 墙 进行 隔离 和 审核 ， 如 图 4-9 所 示 。 











图 4-9 防火 墙 防御 网 络 攻击 


对 于 防火 墙 来 说 ， 通 常会 具备 以 下 特性 。 

1. 网 络 位 置 特性 

防火 墙 要 部 署 在 网 络 安 全 区 域 的 边界 ， 一 般 如 果 不 同 网 络 区 域 之 间 有 不 同 的 安全 要 
求 ， 那 么 就 应 该 考虑 部 署 防火 墙 。 

所 谓 网 络 边界 ， 即 是 采用 不 同安 全 策略 的 两 个 网 络 连接 处 ， 比 如 用 户 网 络 和 互联 网 之 
间 连 接 、 与 其 他 业务 往来 单位 的 网 络 连接 、 用 户 内 部 网 络 不 同 部 门 之 间 的 连接 等 。 防 火 墙 
的 目的 ， 就 是 在 网 络 连接 之 间 建 立 一 个 安全 控制 点 ， 通 过 人 允许、 拒绝 或 重新 定向 经 过 防火 
墙 的 数据 流 ， 实 现 对 进 、 出 内 部 网 络 的 服务 和 访问 的 审计 和 控制 。 

部 署 防火 墙 后 ， 不 同安 全 区 域 之 间 的 所 有 网 络 数据 流 都 必须 经 过 防火 墙 ， 这 是 防火 墙 


(a. 
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设置 的 一 个 前 提 。 因 为 只 有 当 防 火 墙 是 网 络 之 间 通 信 的 唯一 通道 时 ， 才 可 以 对 外 界 到 内 网 
的 通信 流量 进行 审核 ， 从 而 全 面 、 有 效 地 保护 企业 网 内 部 网 络 不 受 侵害 ， 如 图 4-10 所 示 。 











图 4-10 防火墙 部 署 在 安全 边界 
2. 审核 功能 


防火 墙 最 基本 的 功能 是 确保 网 络 流量 的 合法 性 ， 只 有 符合 安全 策略 的 数据 流 ， 才 能 通 
过 防火 墙 。 通 过 对 审核 策略 的 制订 ， 管 理 员 可 以 有 效 控制 合法 流量 通过 设备 ， 而 不 符合 策 
略 的 数据 包 ， 将 被 拦截 丢弃 。 

在 防火 墙 上 ， 预 先 定义 好 审核 策略 。 每 一 个 数据 包 经 过 防火 墙 时 ， 都 要 经 过 防火 墙 审 
核 。 假 如 定义 了 10 条 策略 ， 当 数据 包 到 达 时 ， 就 会 按照 策略 顺序 逐条 审核 ， 每 条 策略 都 
由 筛选 条 件 和 审核 结果 构成 ， 如 果 筛 选 条 件 不 符合 ， 那 就 审核 下 一 条 : 如 果 筛 选 条 件 符 
合 ， 就 进行 判断 :如 果 策略 允许 通过 ， 就 放行 ， 如 果 策 略 阻止 通过 ， 就 拦截 并 丢弃 数据 
包 。 有 时 候 ， 所 有 策略 都 检查 过 了 ， 仍 没有 匹配 项 。 这 时 候 ， 要 看 防火 墙 的 默认 设置 是 允 
许 还 是 拒绝 。 如 果 是 允许 就 通行 ， 是 拒绝 就 拦截 ， 如 图 4-11 所 示 。 










加 HE 仿生 
预定 义 第 略 


逐条 审核 
合法 的 通过 ,非法 的 拦截 


外 出 数据 流 


图 4-11 防火 墙 策略 审核 
3. 超 强 的 防御 能 力 


防火 墙 处 于 安全 区 域 边缘 ， 就 像 一 个 边界 卫士 一 样 ， 每 时 每 刻 都 要 面 对 来 自 外 界 的 探 
测 攻击 和 黑客 入 侵 的 考验 ， 如 果 没 有 非常 强 的 抗击 入 侵 能 力 ， 那 么 被 攻击 后 ， 就 会 失去 安 
全 防护 的 能 力 。 
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我 们 都 知道 ， 可 用 性 和 安全 性 是 一 对 永恒 的 矛盾 。 提 升 安全 性 ， 必 然 会 降低 系统 的 可 
用 性 ， 对 于 服务 器 来 说 ， 需 要 提供 网 络 服务 ， 并 进行 日 常 管理 维护 ， 考 虑 到 可 用 性 的 需 
求 ， 所 以 安全 性 肯定 会 受到 影响 。 我 们 可 以 在 服务 器 上 部 署 防火 墙 ， 来 增强 服务 器 的 安全 
措施 。 

我 们 还 可 以 配置 专用 防火 墙 来 提升 网 络 的 安全 性 ， 由 于 此 防火 墙 是 专用 设备 ， 功 能 少 
而 专 ， 因 此 ， 打 开 的 服务 端口 较 少 ， 易 于 增强 防御 能 力 ; 更 重要 的 是 ， 专 用 防火 墙 配置 完 
毕 后 ， 通 常 不 需要 额外 的 日 常 管理 和 维护 ， 所 以 ， 可 以 把 专用 防火 墙 设置 到 极 高 的 安全 级 
别 。 因 为 专用 防火 墙 不 需要 提升 可 用 性 ， 所 以 ， 安 全 性 就 可 以 得 到 极 大 的 强化 。 对 于 攻击 
者 来 说 ， 这 就 极 大 地 增加 了 攻击 的 难度 ， 如 图 4-12 所 示 。 





出 
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4-12 ”防火 墙 的 超 强 防 御 能 力 


4.9 了 解 动态 防火 墙 firewalld 


CentOS 操作 系统 默认 安装 的 防火 墙 是 firewalld， 它 部 署 安 装 在 服务 器 上 ， 对 服务 器 进 
行 安全 防护 。 它 会 对 经 过 的 数据 流 进行 审核 ， 来 保护 服务 器 的 安全 。 

防火 墙 总 是 部 署 在 网 络 的 安全 边界 上 ， 对 于 firewalld 来 说 ， 服 务 器 内 部 ， 需 要 配置 较 
高 的 安全 级 别 ， 而 外 界 的 访问 者 ， 则 来 源 复杂 ， 难 以 信任 ， 属 于 不 确定 区 域 ， 安 全 级 别 较 
低 。 在 外 界 和 服务 器 的 网 络 通信 连接 通道 上 ， 架 设防 火 墙 ， 对 流入 和 流出 的 数据 包 进 行 审 
核 ， 把 非法 信息 拦截 在 服务 器 之 外 ， 就 可 以 在 很 大 程度 上 提升 服务 器 的 安全 。 

对 于 传统 防火 墙 ， 用 户 将 新 的 防火 墙 规则 添加 进 配置 文件 后 ， 需 重新 启动 服务 ， 使 变 
更 的 规则 生效 。 这 种 哪怕 只 修改 一 条 规则 也 要 进行 所 有 规则 的 重新 载 入 的 模式 ， 可 以 称 为 
静态 防火 墙 。 

firewalld 的 工作 模式 下 ， 任 何 规则 的 变更 都 不 需要 对 整个 防火 墙 规则 列表 进行 重新 加 
载 ， 因 此 被 称 为 动态 防火 墙 。 

静态 防火 墙 在 更 新 规则 时 ， 会 对 旧 的 防火 墙 规则 进行 清空 ， 然 后 重新 完整 地 加 载 所 有 
新 的 防火 墙 规则 ， 这 些 动作 很 可 能 对 运行 中 的 系统 产生 额外 的 不 良 影响 ， 特 别 是 在 网 络 非 
常 繁忙 的 系统 中 。 而 动态 防火 墙 不 清空 原 有 规则 ， 对 系统 的 不 良 影响 就 可 以 降 到 最 低 。 
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此 外 ，firewalld 还 具有 以 下 优势 和 特性 。 

(1) firewalld 的 配置 文件 。firewalld 的 配置 文件 被 放置 在 不 同 的 XML 文件 中 ， 这 使 
得 对 规则 的 维护 变 得 更 加 容易 和 可 读 ， 有 条 理 。 

(2) firewalld 的 区 域 模型 。firewalld 抽象 出 一 个 区 域 模型 的 概念 ， 将 原本 十 分 灵活 的 
自 定义 链 统一 成 一 套 默认 的 标准 使 用 规范 和 流程 ， 使 得 防火 墙 在 易 用 性 和 通用 性 上 得 到 提升 。 

(3) firewalld 让 规则 管理 变 得 更 加 人 性 化 ， 让 初学 者 也 可 以 在 很 短 时 间 内 掌握 其 基本 
用 法 ， 规 则 管理 变 得 更 快捷 。 

1.，firewalld 的 区 域 (zone) 

firewalld 将 网 卡 对 应 到 不 同 的 区 域 (zone)，zone 默认 共有 9 个 ，“block | dmz | drop | 
external | home | internal | public | trusted | work”， 不 同 的 区 域 之 间 的 差别 在 于 对 待 数 据 包 的 
默认 行为 不 同 ， 根 据 区 域名 字 ， 我 们 可 以 很 直观 地 知道 该 区 域 的 特征 。 

例如 ， 查 看 所 有 支持 的 zone 和 查看 当前 的 默认 zone， 如 图 4-13 所 示 。 


#firewall-cmd --get-zones 
#firewall-cmd --get-default-zone 









































图 4-13 防火墙 的 区 域 信息 


如 图 4-13 所 示 ，firewalld 有 9 个 默认 区 域 ， 默 认 的 区 域 是 public。 

drop: 默认 丢弃 所 有 包 ， 不 做 出 任何 响应 ， 只 人 允许 流出 的 网 络 连接 。 

block: 拒绝 所 有 外 部 连接 ， 只 允许 由 该 系统 初始 化 的 网 络 连接 。 

public: 用 在 可 以 公开 的 部 分 ， 认 为 网 络 中 其 他 的 计算 机 不 可 信 并 且 可 能 伤害 我 们 的 
计算 机 ， 只 允许 选中 的 连接 接 入 。 

external: 用 在 路 由 器 等 启用 伪装 的 外 部 网 络 ， 认 为 网 络 中 其 他 的 计算 机 不 可 信 ， 并 且 
可 能 伤害 我 们 的 计算 机 ， 只 允许 选中 的 服务 通过 。 

dmz: 用 以 允许 隔离 区 (dmz) 中 的 电脑 有 限 地 被 外 界 网 络 访问 ， 只 允许 选中 的 服务 通过 。 

work: 用 在 工作 网 络 ， 信 任 网 络 中 的 大 多 数 计算 机 不 会 影响 我 们 的 计算 机 ， 只 接受 被 
选中 的 连接 。 

home: 信任 网 络 中 的 大 多 数 计算 机 不 会 影响 我 们 的 计算 机 ， 只 允许 选中 的 服务 通过 。 

interal: 用 在 内 部 网 络 。 信 任 网 络 中 的 大 多 数 计算 机 不 会 影响 我 们 的 计算 机 ， 只 允许 
选中 的 服务 通过 。 

trusted: 允许 所 有 网 络 连接 ， 即 使 没有 开放 任何 服务 ， 使 用 此 zone 的 流量 照样 通过 。 

所 有 可 用 zone 的 XML 配置 文件 被 保存 在 /usr/lib/firewalld/zones/ 目 录 中 ， 该 目录 中 的 
配置 为 默认 ， 不 允许 管理 员 手 工 修 改 ， 自 定义 zone 配置 需 保存 到 /etc/firewalld/zones/ 目 
录 。 防 火 墙 规则 即 是 通过 zone 配置 文件 进行 组 织 管理 的 ，zone 的 配置 文件 根据 不 同 的 场 
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景 ， 默 认 地 定义 了 不 同 的 版 本 供 选 择 使 用 ， 这 就 是 zone 的 方便 之 处 ， 如 图 4-14 所 示 。 


#1s /usr/lib/firewalld/zones 
#cat /usr/lib/firewalld/zones/public.xml 


usr/1ib/f irewall 
home .xml public .x 

internal .xml truste 

usr/1ib/f irewalld/zones/public .xml 
nding="utf -8"? 


ort>Public</short 
description>For use in public areas. You do not trust the othd 
your computer Only selected incoming connections are accepted 
> name="ssh" 
ice name="dhcpv6-client" 





图 4-14 ”public 区 域 的 默认 设置 

如 图 4-14 所 示 ， 在 /usr/lib/firewalld/zones/ 目 录 下 存放 着 9 个 区 域 的 默认 配置 文件 ， 并 
且 ， 在 public 的 默认 配置 文件 中 ， 默 认 启 动 了 两 个 服务 ， 一 个 是 SSH 服务 ， 一 个 是 
dhcpv6-client。 当 然 ， 这 里 的 public 区 域 默认 配置 文件 并 不 是 真正 起 作用 的 firewalld 配置 
文件 ， 真 正 起 作用 的 public.xml 是 /etc/firewalld/zones/public.xml。 

2.，firewalld 的 服务 (service) 

在 /usr/lib/firewalld/services/ 目 录 中 ， 还 保存 了 另外 一 类 配置 文件 。 每 个 文件 对 应 一 项 
具体 的 网 络 服务 ， 如 SSH 服务 等 ， 与 之 对 应 的 配置 文件 中 记录 了 各 项 服务 所 使 用 的 
TCP/UDP 端口 ， 当 默认 提供 的 服务 不 够 用 或 者 需要 自 定义 某 项 服务 的 端口 时 ， 我 们 需要 将 
service 配置 文件 放置 在 /etc/firewalld/services/ 目 录 中 ， 如 图 4-15 所 示 。 


#1s /usr/lib/firewalld/services/ 


amanda-client 5 quid .xml 
amanda-k5-c1l ml 





图 4-15 查看 各 个 服务 的 配置 文件 


如 图 4-16 所 示 ，SSH 服务 的 端口 绑 定 的 是 TCP 端口 的 22 号 端口 : 


#cat /usr/lib/firewalld/services/ssh.xml 


“]# cat /usr/lib/firewalld/s 
”encoding="utf > 


1) is a proto for logging into 
ecure encrypted c i 
walled inte 
ed for this option to be useful. 


port protocol="tcp" p 


vice> 





图 4-16 SSH 服务 的 配置 文件 
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因为 默认 区 域 是 public， 在 public 的 默认 配置 文件 中 会 启用 SSH 服务 ， 在 SSH 服务 的 
配置 文件 中 设 定 了 服务 端口 是 22。 这 样 ， 防 火 墙 就 会 对 22 号 端口 的 流量 放行 ，SSH 服务 
的 通信 才 可 以 正常 通过 防火 墙 。 

service 配置 的 好 处 显而易见 ， 第 一 ， 通 过 服务 名 字 来 管理 规则 更 加 人 性 化 ， 第 二 ， 通 
过 服务 来 组 织 端口 分 组 的 模式 更 加 高 效 ， 如 果 一 个 服务 使 用 了 若干 个 网 络 端口 ， 则 服务 的 
配置 文件 就 相当 于 提供 了 到 这 些 端口 的 规则 管理 的 批量 操作 快捷 方式 。 每 加 载 一 项 service 
配置 ， 就 意味 着 开放 了 对 应 的 端口 访问 。 

例如 ， 查 看 所 有 支持 的 service 和 查看 当前 zone 中 加 载 的 service， 如 图 4-17 所 示 。 


#firewall-cmd --get-services 
#firewall-cmd --list-services 












































Bliwauegongl ~]# firewall-cmd 
la -clien 


| 
h http 





图 4-17 防火 墙 的 服务 列表 
如 图 4-17 所 示 ， 防 火 墙 支持 的 服务 有 很 多 ， 当 前 加 载 的 服务 有 4 个 ，http 和 https 都 
是 Web 网 站 服务 。 


任务 实践 
4.10 firewalld 的 配置 和 使 用 


1. 任务 描述 

为 了 保护 服务 器 的 安全 ， 需 要 配置 防火 墙 来 对 访问 流量 进行 审核 。 服 务 器 的 卫 地 址 是 
192.168.125.131， 当 前 运行 了 两 个 Web 服务 : 企业 网 站 和 企业 内 部 办 公平 台 ， 为 了 这 些 服 
务 能 够 正常 运行 ， 需 要 开放 对 应 的 服务 端口 ， 另 外 ， 为 了 对 服务 器 进行 远程 管理 ， 需 要 开 
放 服 务 器 的 远程 管理 端口 。 其 他 端口 的 通信 默认 拦截 。 如 下 所 示 : 























服务 名 称 服务 名 绑 定 端口 
Web 网 站 服务 http 80 
企业 内 部 办 公 http 8001 
SSH 远程 登录 服务 sshd 8064(8022 
其 他 要 求 如 下 。 











(1) 为 了 网 络 安全 考虑 ， 应 不 允许 ping 数据 包 通 过 防火 墙 。 
.Zed\. 
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(2) SSH 远程 登录 服务 只 允许 管理 机 192.168.125.200 访问 。 
2. 任务 分 析 


防火 墙 可 以 对 流 经 的 信息 进行 审核 。 在 服务 器 上 运行 着 很 多 网 络 服 务 ， 打 开端 口 接收 
外 界 请 求 ， 与 其 他 主机 通信 。 当 防火 墙 开启 时 ， 这 些 流量 都 会 得 选 过 滤 ， 合 法 的 可 以 通 
过 ， 不 合法 的 就 会 被 拦截 。 

如 果 一 个 服务 的 信息 被 拦截 了 ， 那 么 通信 就 会 中 断 ， 服 务 也 就 不 能 正常 工作 了 。 

对 于 网 络 防火 墙 来 说 ， 对 流 经 信息 的 过 滤 是 通过 源 人 P 地 址 、 目 的 人 P 地 址 、 源 端口 、 
目的 端口 、 协 议 信 息 等 来 进行 过 滤 的 ; 对 于 主机 防火 墙 ， 部 署 在 主机 与 外 界 的 安全 边界 
上 ， 通 信 的 一 侧 只 有 主机 自己 ， 所 以 需要 过 滤 的 依据 主要 是 端口 和 协议 信息 。 
防火 墙 firewalld 的 简单 配置 思路 如 下 。 

@ firewalld 的 安装 、 运 行 、 开 机 自 启动 设置 。 

@ 在 主 配 置 文件 中 指定 默认 区 域 。 

@ 在 区 域 配 置 文件 中 配置 服务 。 

@ ”然后 在 服务 文件 中 设 定 端口 或 者 直接 开放 /禁止 端口 。 

除了 允许 的 服务 和 端口 ， 其 他 信息 无 法 通过 防火 墙 。 这 样 ， 即 使 其 他 服务 存在 安全 漏 
由 于 防火 墙 把 通信 和 直接 拦截 封锁 了 ， 也 可 以 有 效 地 保障 服务 器 的 安全 。 

firewalld 的 配置 命令 是 frewall-cmd， 以 下 是 常用 的 配置 命令 和 说 明 。 

(1) 获取 firewalld 的 状态 : 


#firewall-cmd --state 


(2) 在 不 改变 状态 的 条 件 下 重新 加 载 防火 墙 : 

#firewall-cmd --reload 

G) 处 理 运行 时 区 域 。 

运行 时 模式 下 对 区 域 进行 的 修改 不 是 永久 有 效 的 。 重 新 加 载 或 者 重启 后 修改 将 失效 。 
中 启用 区 域 中 的 一 种 服务 : 


#firewall-cmd [--zone=<zone>] --add-service=<service> 

此 命令 启用 区 域 中 的 一 种 服务 。 如 果 未 指定 区 域 ， 将 使 用 默认 区 域 。 如 果 服 务 已 经 活 
将 不 会 有 任何 警告 信息 。 

例 1， 启 用 默认 区 域 中 的 HTTP 服务 : 


#firewall-cmd --add-service=http 


@@ 禁用 区 域 中 的 某 种 服务 : 


#firewall-cmd [--zone=<zone>] --remove-service=<service> 


此 命令 禁用 区 域 中 的 某 种 服务 。 如 果 未 指定 区 域 ， 将 使 用 默认 区 域 。 
例如 ， 禁 止 home 区 域 中 的 HTTP 服务 : 

















| 


加 
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#firewall-cmd --zone=home --remove-service=http 


区 域 中 的 服务 将 被 禁用 。 如 果 服 务 没有 启用 ， 将 不 会 有 任何 警告 信息 
@@ 启用 区 域 端口 和 协议 组 合 : 


#firewall-cmd [--zone=<zone>] --add-port=<port>[-<port>]/<protocol> 


此 命令 将 启用 端口 和 协议 的 组 合 。 端 口 可 以 是 一 个 单独 的 端口 <port> 或 者 是 一 个 端 

















范围 <port> ~ <port>。 协 议 可 以 是 TCP 或 UDP。 


求 信息 


用 运 
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@ ”禁用 端口 和 协议 组 合 : 


#firewall-cmd [--zone=<zone>] --remove-port=<port>[-<port>]/<protocol> 


@ 启用 区 域 的 ICMP 阻塞 功能 

#firewall-cmd [--zone=<zone>] --add-icmp-block=<icmptype> 

此 命令 将 启用 选中 的 Internet 控制 报 文 协议 (ICMP) 报 文 进行 阻塞 。ICMP 报 文 可 以 是 请 
或 者 创建 的 应 答 报 文 ， 以 及 错误 应 答 。 

@ 禁止 区 域 的 ICMP 阻塞 功能 

#firewall-cmd [--zone=<zone>] --remove-icmp-block=<icmptype> 


例 2， 阻 塞 区 域 的 响应 应 答 报 文 : 


#firewall-cmd --zone=public --add-icmp-block=echo-reply 


(4) 处 理 永 久 区 域 。 

永久 选项 不 直接 影响 运行 时 的 状态 。 这 些 选项 仅 在 重 载 或 者 重启 服务 时 可 用 。 为 了 使 
去 行 时 和 永久 设置 ， 需 要 分 别 设置 两 者 。 

选项 --permanent 需要 是 永久 设置 的 第 一 个 参数 。 

@ 永久 启用 区 域 中 的 服务 。 如 果 未 指定 区 域 ， 将 使 用 默认 区 域 : 





#firewall-cmd --permanent [--zone=<zone>] --add-service=<service> 
@@ 禁用 区 域 中 的 一 种 服务 : 
#firewall-cmd --permanent [--zone=<zone>] --remove-service=<service> 


例 3， 永 久 启用 home 区 域 中 的 ipp-client 服务 : 


#firewall-cmd --permanent --zone=home --add-service=ipp-client 


@ 永久 启用 区 域 中 的 一 个 “端口 -协议 ”组 合 : 


#firewall-cmd --permanent [--zone=<zone>] 
--add-port=<port>[-<port>] /<protocol> 


@ 永久 禁用 区 域 中 的 一 个 “端口 -协议 ”组 合 : 


#firewall-cmd --permanent [--zone=<zone>] 
—-remove-port=<port>[-<port>]/<protocol> 
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例 4， 永 久 启用 home 区 域 中 的 HITPS (tcp 443) 端 











#firewall-cmd --permanent --zone=home --add-port=443/tcp 


@ 永久 启用 区 域 中 的 ICMP 阻塞 : 

#firewall-cmd --permanent [--zone=<zone>] --add-icmp-block=<icmptype> 

此 命令 将 启用 选中 的 Intemet 控制 报 文 协议 ICMP) 报 文 进行 阻塞 。ICMP 报 文 可 以 是 请 
求 信息 或 者 创建 的 应 答 报 文 或 错误 应 答 报 文 。 

@ 永久 禁用 区 域 中 的 ICMP 阻塞 ; 

#firewall-cmd --permanent [--zone=<zone>] --remove-icmp-block=<icmptype> 

例 5， 阻 塞 公共 区 域 中 的 响应 应 答 报 文 : 


#firewall-cmd --permanent --zone=public --add-icmp-block=echo-reply 























3. 配置 步骤 
(1) firewalld 安装 a 
首先 检查 防火 墙 firewalld 是 否 安 装 ， 是 否 正常 运行 ， 如 图 4-18 所 示 。 


#yum info firewalld 
#systemctl status firewalld 


[awa systemct] status firewalld 
a firewalld.service firewalld dunamic f irewall 
Loaded: loaded (/usr/lib/systemd/system/f irewall 


Act iv active (running) since Thu 2817-84-13 87 
Do nifirewalld(1) 
Main PID: 685 (firewalld) 





4-18 ”查看 firewalld 运行 状态 


如 果 没 有 安装 ， 就 安装 firewalld 防火 墙 ， 默认 情况 下 ，firewalld 应 该 已 经 安装 了 。 
#yum install firewalld 
安装 后 开启 防火 墙 并 设置 为 开机 自动 启动 ， 默 认 应 该 已 经 配置 好 了 : 


#SYSstemct1 start firewalld 
#systemctl] enable firewalld 


可 以 停止 firewalld 服务 ， 并 且 关 闭 开机 自动 启动 : 


#systemctl1 stop firewalld 
#systemctl1 disable firewalld 














和 注意 : ”暂时 关闭 SELinux， nited 者 ，firewalld 就 不 关 了 。 如 果 以 下 
步骤 执行 出 错 ， 是 没有 关闭 SELinux 造成 的 。 


#setenforce 0 
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(2) 区 域 管理 。 
public 作为 默认 区 域 ， 为 网 络 接口 所 应 用 ， 人 允许 dhcpv6-client、SSH 服务 。 





使 用 命令 firewall-cmd 可 进行 多 种 操作 。 如 果 省 略 指定 的 应 用 区 域 (-zone=**s)， 














用 该 默认 区 域 public。 


Q@ 查看 默认 区 域 : 

#firewall-cmd --get-default-zone 

@ ”查看 现在 的 区 域 设 定 : 

#firewall-cmd --1ist-all 

@ 查看 定义 的 所 有 区 域 : 

#firewall-cmd --list-all-zones 

@ ”查看 指定 区 域 (如 extermal) 所 允许 的 服务 : 
#firewall-cmd --list-service --zone=external 
@ ”变更 默认 区 域 ( 如 extermal)， 如 图 4-19 所 示 。 


#firewall-cmd --set-default-zone=external 
#firewall-cmd --get-default-zone 
#firewall-cmd --set-default-zone=external 
#firewall-cmd --get-default-zone 





[root@liwaegong1 f irewall-cmd =:t-default-zone external 
ucce: 

[rootBliuxuegong1 firewal1-cmd st -def ault-zone 
external 


[rootB@liuxuegong1 f irewal1-cmd st-default-zone public 
ucce: 

[root@liwaegong1 firewal1-cmd st-default-zone 

public 





图 4-19 改变 默认 区 域 


如 图 4-19 所 示 ， 通 过 设置 不 同 的 区 域 ， 可 以 调整 默认 的 防火 墙 策略 。 
(3) 服务 管理 ， 添 加 HTTP 服务 。 

Q 确认 所 定义 的 服务 一 览 : 

#firewall-cmd --get-services 

@ ”查看 所 定义 的 服务 保存 目录 : 


#1ls /usr/lib/firewalld/services 


@@ HITP 服务 的 添加 和 删除 设置 。 





就 使 


添加 HITP 服务 (动态 防火 墙 ， 设 定 即 时 有 效 )， 之 后 查看 是 否 生 效 ， 如 图 4-20 所 示 。 


#firewall-cmd --add-service=http 
#firewall-cmd --list-service 
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[root@liuxuegong ~ ]# firewall-cmd --add-service=http 
suc: 


[root@liuxuegong ~ ]# firewall-cmd --list-services 
dhcpv6-client ssh http 





图 4-20 添加 HTTP 服务 


@ 删除 HITP 服务 并 查看 配置 是 否 生效 ， 如 图 4-21 所 示 。 


# firewall-cmd --remove-service=http 
# firewall-cmd --list-service 





[root@liwaegong ~]# firewall-cmd --remove-service=http 


SUC 


[root@liuxuegong ~]# firewall-cmd --list-services 
dhcpv6-client ssh 





图 4-21 删除 HTTP 服务 
@ 永久 添加 HTTP 服务 并 查看 配置 效果 : 


#cat /etc/firewalld/zones/public.xml 
# firewall-cmd --permanent --add-service=http 
#cat /etc/firewalld/zones/public.xml 


如 图 4-22 所 示 ， 没 有 永久 添加 HTTP 服务 时 ， 当 前 默认 区 域 文件 里 只 有 两 个 服务 ， 执 
行 完 添加 命令 后 ，public 默认 配置 文件 多 了 HTTP 服务 的 配置 项 。 


[ET ]# cat vetcvf iirewalldvzoneszpublic .xml 

ml version="1.8”encoding="utf- 
zone 

short>Public¢/short> 

description>For use in public areas. You do not trust the other 
your computer. Only selected incoming connections are accepted.</¢ 

se € name -Client", 

€ Tame ee 

me: 
[rootBliuxuegong ~]# firewal1-cmd --permanent --add-service http 
uccess 


[rootB@liuxuegong “]# cat /etc/f ir /zones/public .xml 
1 version="1.8" encoding="utf 
ne 


short>Public¢/short 
description>For use in public areas. You do not trust the other 
your computer.( elected incoming connections are accepted </ 





图 4-22 永久 添加 HTTP 服务 


如 图 4-23 所 示 ， 虽 然 --permanent 会 永久 添加 HITP 服务 ， 但 是 并 不 会 让 设置 马上 生 
效 。 第 一 次 查看 服务 时 ，HTTP 服务 并 未 生效 。 为 使 设置 生效 ， 需 使 用 --reload 功能 选项 尾 
新 firewalld 的 过 滤 策 略 。 这 样 刷新 后 再 查看 ， 就 看 到 HTTP 服务 了 。 

#firewall-cmd --list-service 


#firewall-cmd --reload 
#firewall-cmd --list-service 
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[rootB@liuxuegong ~]# fireuall-cmd --1ist-seruices 
dhcpv6-client ssh 
[rootB@liu>xuegong ~]# firewuall-cma --reload 


success 
[rootBliuxuegong ~]# fireuall-cmdl --list-services 
dhcpv6-client http ssh 





图 4-23 ”刷新 firewalld 配置 





如 果 不 指定 --permanent 的 话 ， 系 统 重启 后 ， 这 些 设 定 就 无 效 了 。 
(4) HTTP 服务 自 定义 端 口 8001 的 添加 与 删除 。 
@ 配置 Web 服务 器 ,添加 8001 端口 的 虚拟 主机 ， 如 图 4-24 所 示 。 


#vi /etc/httpd/conf/httpd.conf 





图 4-24 添加 8001 端口 


@ 在 httpd.conf 文件 尾 输入 以 下 内 容 。 
如 图 4-25 所 示 ， 企 业 网 站 使 用 80 端口 ， 内 部 办 公平 台 使 用 8001 端口 ，80 已 经 默认 
配置 好 了 ， 还 需要 增加 8001 端口 的 监听 : Listen 8001 。 
25.131:8881》> 


81. Com 
umentRoot Ww/html/main 


Directory /html /ma im》 
Re all granted 





图 4-25 配置 虚拟 主机 


企业 网 站 使 用 默认 的 网 站 设置 ， 只 需要 把 网 站 源 文 件 复制 到 /var/www/html 目录 下 即 
可 ; 内 部 办 公平 台 使 用 8001 端口 ， 还 需要 配置 一 下 相关 的 内 容 。 
@ 编写 测 斌 页面: 


#echo "Test URL: 
http://192.168.125.131:8001">/var/www/html/main/index.html 


@ 重启 Apache Web 服务 器 ， 让 设置 生效 : 

#systemctl1 restart httpd.service 

@ ”测试 此 虚拟 主机 。 

此 时 本 机 可 以 正常 访问 ， 其 他 主机 访问 不 了 此 服务 ， 因 为 防火 墙 拦 
所 示 。 

本 机 访问 虚拟 主机 : 


#lynx 192.168.125.131:8001 





















截 请 求 ， 如 图 4-26 





.Zed\. 
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4-26 ”访问 虚拟 主机 














@ 在 其 他 主机 访问 此 虚拟 主机 (本 机 下 地 址 是 192.168.125.131): 

#lynx 192.168.125.131:8001 

@ 进行 防火 墙 配置 ， 开 放 8001 端口 。 

配置 防火 墙 开放 相应 服务 端口 有 两 种 常见 方法 : 一 是 直接 开放 端口 ， 二 是 先 复制 模板 
配置 文件 ， 然 后 修改 服务 文件 ， 在 服务 文件 中 添加 修改 端口 ， 再 reload 让 服务 生效 。 

方法 一 : 直接 开放 端口 

添加 8001 端口 ， 如 图 4-27 所 示 。 








# firewall-cmd --add-port=8001/tcp 
# firewall-cmd --list-port 


[rootB@liuxuegong ~]# firewal1-cmd --add-port=8981/tcp 
success 


[rootB@liuxuegong ~]# firewall-cmd --list-port 
8881/tcp 





4-27 增加 8001 号 端口 
删除 8001 端口 ， 如 图 4-28 所 示 。 


# firewall-cmd --remove-port=8001/tcp 
# firewall-cmd --list-port 


[root®@liuwauegong ~]# firewall-cmd --remove-port=8881/tcp 


succes 
[rootB@liuxuegong ~]# firewall-cmd --list-port 





4-28 ”删除 8001 号 端口 


永久 追加 8001 端口 ， 如 图 4-29 所 示 ( 为 使 设 定 





: 效 ， 需 重新 加 载 配置 )。 
# firewall-cmd --permanent --add-port=8001/tcp 


# firewall-cmd --reload 
# firewall-cmd --list-port 


[root@liwaegong ~]# fireuall-cmd --permanent --add-port=8881/tcp 


]# firewall-cmd reload 


]# firewall-cmd --list-port 





4-29 ”永久 添加 8001 号 端口 
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方法 二 ， 此 操作 也 可 以 通过 编辑 HTTP 的 服务 文件 ， 添 加 此 端口 ， 效 果 相同 
复制 HTTP 服务 的 配置 文件 到 /etc/firewalld/services 目录 下 : 
#cp /usr/lib/firewalld/services/http.xml /etc/firewalld/services/ 
编辑 http.xml 服务 文件 ， 添 加 8001 端口 ， 如 图 4-30 所 示 。 


#vi /etc/firewalld/services/http.xml 


ion="1.8" encoding="utf 


hort> 
he protocol used 
ption. Thi 


port 
tcp” port="8881", 





图 4-30 在 服务 文件 中 添加 8001 端口 
重新 加 载 ， 让 配置 生效 : 
#firewall-cmd --reload 
@ 在 客户 机 ， 也 就 是 另 一 台 Linux 主机 进行 访问 ， 测 试 是 否 能 正常 访问 。 
#lynx http://192.168.125.131:8001 


如 图 4-31 所 示 ， 此 时 Web 服务 应 该 可 以 正常 访问 了 。 


Test URL:http 192 .168 .125 .131:8881 





图 4-31 浏览 网 站 测试 配置 
(5) ICMP 回 送 信息 拦截 的 设置 与 删除 。 
GD 先 在 另 一 台 Linux 主机 测试 ping 是 否 正常 工作 ， 如 图 4-32 所 示 ( 本 主机 卫 地 址 : 
192.168.125.131)。 


IRONOL32 L68125 3 Se 1 


: icmp_seq= =1 tt1-64 





4-32 ”使 用 ping 进行 测试 


ping 命令 发 送 的 信息 使 用 的 协议 是 ICMP 协议 ， 与 HITP 服务 默认 拒绝 通过 不 同 ， 
ICMP 信息 在 防火 墙 上 是 默认 允许 通过 的 。 这 可 能 导致 服务 器 成 为 DDOS 攻击 的 目标 。 接 
下 来 ， 我 们 配置 拦截 ping 的 数据 包 。 

@@ 配置 回 送信 息 echo-reply 的 拦截 。 
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添加 echo-reply 拦截 ， 如 图 4-33 所 示 。 


#firewall-cmd --add-icmp-block=echo-reply 
#firewall-cmd --list-icmp-blocks 


Bliuwaegongl ~]# firewall-cmdl --add-icmp-block=echo-reply 


[root@liuwauegongl ~]# firewall-cmd --1ist-icmp-blocks 
echo-reply 





图 4-33 添加 echo-reply 拦截 
在 另 一 台 Linux 主机 上 执行 Ping 测试 : 
#ping 192.168.125.131 -c 1 
删除 echo-reply， 如 图 4-34 所 示 。 


# firewall-cmd --remove-icmp-block=echo-reply 
# firewall-cmd --list-icmp-blocks 


[rootBliuxuegong1 ~]# firewal11-cmd --remove-icmp-block=echo-reply 
Success 


[rootBliuxuegong1 ~]# firewal1-cma --list-icmp-blocks 





图 4-34 删除 echo-reply 设置 


设置 永久 echo-reply 拦截 ， 如 图 4-35 所 示 。 


#firewall-cmd --permanent --add-icmp-block=echo-reply 
#firewall-cmd --list-icmp-blocks 

#firewall-cmd --reload 

#firewall-cmd --list-icmp-blocks 


[rootB@liuxuegong ~]# firewal1-cmd --permanent --add-icmp-block=echo-repluy 
success 
[TT 


[rootBliuxuegong ~]# firewuall-cmd --reload 
Success 

[rootB@liuxuegong ~]# firewall-cml --list-icmp-blocks 
echo-reply 





图 4-35 永久 拦截 Ping 的 消息 
在 另 一 台 Linux 主机 上 执行 Ping 测试 : 

#ping 192.168.125..131 .=c. 1 

@ 查看 可 以 指定 的 ICMP 类 型 一 览 ， 如 图 4-36 所 示 。 


# firewall-cmd --get-icmptypes 


[rootB@liuxuegong 


ad nat ion-um 
er-solicitation 





4-36 查看 ICMP 类 型 
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以 下 是 几 个 比较 常见 的 消息 类 型 说 明 。 

destination-unreachable: 目标 无 法 到 达 ， 此 故障 原因 通常 是 路 由 设备 无 法 在 路 由 表 品 
找到 到 达 目 标的 路 径 ， 从 而 无 法 继续 转发 数据 。 

echo-reply: 回 送信 息 ， 当 目标 主机 接收 到 echo-request 信息 后 ， 回 送 的 信息 。 

echo-request: 发 送 请 求 信息 ， 测 试 主机 向 目标 主机 发 送 的 连通 性 测试 请 求 信息 ， 目 标 
主机 收 到 此 信息 后 会 回 发 echo-reply 信息 。 

time-exceeded: 超时 信息 ， 转 发 设备 在 转发 数据 时 ， 因 为 无 法 收 到 转发 目标 的 确认 信 
息 ， 回 送 的 消息 。 这 通常 是 因为 网 络 繁忙 ， 或 者 设备 与 线 缆 故障 导致 的 网 络 不 通 。 

(6) 自 定 义 SSH 服务 端口 号 8064 的 添加 与 删除 。 
出 于 安全 因素 ， 我 们 往往 需要 对 一 些 关键 的 网 络 服务 默认 端口 号 进行 变更 ， 如 SSH 服 
务 ，SSH 的 默认 端口 号 是 22。 此 项 目 要 求 把 SSH 服务 的 服务 端口 修改 为 8064。 
@ 要 做 的 准备 工作 。 
在 另 一 台 Linux 主机 上 远程 登录 此 主机 (192.168.125.131): 
FShil92 L601255130 
加 


[图 4-37 所 示 ，SSH 服务 可 以 正常 远程 登录 。 





x 





















































[root@liuxuegong1 h 192.168.125 
root@192 .168.125 .131’s password 


Last login: Thu hpr 13 88:11:27 2817 





4-37 ”测试 远程 登录 
配置 sshd 服务 ， 把 服务 端口 改 成 8064。 
sshd 服务 的 配置 文件 是 /etc/ssh/sshd_config， 备 份 之 后 进行 修改 。 


#cp /etc/ssh/sshd config /etc/ssh/sshd config.1 
#vi /etc/ssh/sshd config 


如 图 4-38 所 示 ， 找 到 “#port 22”， 把 “#” 号 去 掉 ， 然 后 把 22 替换 成 8064， 保 存 并 
退出 ， 再 重启 SSH 服务 。 


村 
Port 8864 


4-38 ”修改 服务 端口 
重新 启动 sshd 服务 : 


#systemctl1 restart sshd.service 


通知 SELinux 端口 的 变化 ， 使 用 semanage 命令 安装 policycoreutils-python 包 。 如 果 已 
经 执行 过 setenforce 0 命令 ， 此 步骤 可 忽略 。 


#semanage port -a -t ssh port t -p tcp 8064 


清空 iptables 规则 。 


(Ze. 











1 于 firewalld 防火 墙 的 底层 是 iptables 防火 墙 ， 所 以 还 会 
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受到 iptables 防火 墙 的 影响 ， 


no route to host”。 


这 里 把 iptables 防火 墙 的 策略 清空 ， 不 然 会 提示 错误 信息 “ 
iptables -F 
在 另 一 台 Linux 主机 上 远程 登录 此 主机 (192.168.125.131:8064)。 


因为 不 是 使 用 默认 端口 ，SSH 需要 使 用 -p 选项 来 指定 端口 。 如 果 不 想 用 root 账号 远程 
登录 ， 可 以 在 主机 前 面 设 定 登 录用 户 名 ， 然 后 @ 主 机 IP 地 址 就 可 以 了 。 


#ssh -p 8064 liuxuegong@192.168. 


然而 ， 由 于 防火 墙 拦 截 ， 此 时 是 不 能 正常 远程 登录 
8064 端口 的 信息 


2553 让 





通过 。 


:的 。 接 下 来 ， 


设置 防火 墙 允 许 发 往 


@ ”修改 防火 墙 设置 ， 添 加 自 定义 SSH 服务 端口 8064， 如 图 4-39 所 示 。 


# firewall-cmd --add-port=8064/tcp 
# firewall-cmd --list-port 


[rootB@liuxuegong “]# firewal1-cmd 
UCCESS 


]# firewall-cmd 


[root@liuxuegong 
8881/tcp 8864/tcp 


图 4-39 添加 服务 端口 


add-port 





8864/tcp 


list-port 


或 者 使 用 下 面 的 命令 永久 添加 自 定义 SSH 服务 端口 8064， 如 图 4-40 所 示 。 


# firewall-cmd --add-port=8064/tcp --permanent 
# firewall-cmd --reload 
# firewall-cmd --list-port 


[root@liwaegong ~]# firewall-cmd 


suCCes 


permanent 


]# firewall-cmd reload 


[rootBliuxuegong 


ucce 
[rootBliuxuegong ~]# firewual1-cmd 


8881/tcp 8864/tcp 


list-port 


图 4-40 添加 永久 服务 端口 


@ 在 


#ssh -p 8064 liuxuegong@192.168.125.131 


一 台 Linux 主机 上 测试 远程 登录 。 


如 图 4-41 所 示 ， 


add-port 





8864/tcp 


登录 成 功 。 到 此 ，SSH 端口 修改 配置 成 功 。 





图 4-41 


登录 成 功 


(7) 使 用 自 定义 SSH 服务 文件 配置 8064 端口 。 
直接 配置 防火 墙 开放 端口 简单 方便 ， 





但 是 时 间 长 了 ， 可 能 


如 


会 忘记 当初 的 配置 原因 
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果 修 改 服务 配置 文件 的 话 ， 什 么 时 候 看 都 非常 直观 。 不 用 看 端口 号 ， 而 是 管理 服务 名 称 就 
可 以 了 。 

@ 配置 之 前 的 准备 工作 。 

同 前 面 的 准备 工作 : 配置 好 SSH 服务 ， 修 改 服 务 端口 为 8064， 并 完成 其 他 设置 。 

@) ”在 /etc/firewalld/services/ 目 录 中 添加 并 编辑 自 定义 配置 文件 ssh8064.xml。 

复制 SSH 的 样本 服务 文件 ， 进 行 修改 ， 把 服务 名 改 为 “customized SSH” 或 者 起 一 
他 的 名 字 ， 然 后 把 端口 号 改 为 8064: 


#cp /usr/lib/firewalld/services/ssh.xml /etc/firewalld/services/ssh8064.xml 
#vi /etc/firewalld/services/ssh8064.xml 

<short>customized SSH</short> 

<port protocol="tcp" port="8064"/> 


执行 命令 重 载 配置 文件 ， 并 添加 防火 墙 规则 : 


#firewall-cmd --add-service=ssh8064 
#systemctl1 reload firewalld 

















@ 在 另 一 台 Linux 主机 上 测试 远程 登录 : 
#ssh -p 8064 liuxuegong@192.168.125.131 


如 图 4-42 所 示 ， 登 录 成 功 。 到 此 ，SSH 端口 修改 配置 成 功 。 


[rootB@liuxuegongl p 8864 liuxuegonge@192.168.125.131 


liuxuegong@192.168.125.13 password 





图 4-42 ”测试 远程 登录 
@ 配置 成 功 后 生效 ， 旧 的 SSH 端口 规则 就 可 以 被 禁用 掉 了 


#firewall-cmd --remove-service=ssh 


(8) 只 允许 管理 计算 机 192.168.125.200 远程 访问 SSH 服务 。 

中 配置 之 前 的 准备 工作 。 

同 前 面 的 准备 工作 : 配置 好 SSH 服务 ， 修 改 服 务 端口 为 8064， 并 完成 其 他 设置 。 

@ 配置 防火 墙 。 

使 用 firewalld 的 富 语言 风格 配置 指令 ， 人 允许 指定 的 瑟 地 址 192.168.125.200 访问 SSH 
远程 登录 服务 ， 如 图 4-43 所 示 。 


#firewall-cmd --add-rich-rule="rule family='ipv4' source address= 
"192.168.125.200' port Port='8064' protocol='tcp' accept" 








4-43 设置 IP 地 址 限制 


@ 远程 登录 测试 。 


(3. 


项 目 四 服务 器 的 安全 管理 全国 要 有 


在 管理 计算 机 192.168.125.200 上 测试 SSH 远程 登录 服务 (192.168.125.131)。 
把 另 一 台 主 机 人 P 地 址 改 成 192.168.125.200: 


#ifconfig ens33 192.168.125.200 


执行 远程 登录 ， 访 问 远程 主机 192.168.125.131 的 SSH 服务 ， 如 图 4-44 所 示 。 


#ssh -p 8064 192.168.125.131 








[root@liwaegong1 ) 8864 liuxuegong@192.168 
liuxuegong@192.168.125.13 yassword 





Last login: Thu hpr 13 12:82:13 2817 from 192.168.125.2 
hn iy < 


图 4-44 ”测试 远程 登录 
把 另 一 台 主机 IP 地 址 改 成 192.168.125.201: 
#ifconfig ens33 192.168.125.201 
执行 远程 登录 ， 访 问 远 程 主机 192.168.125.131 的 SSH 服务 : 
#ssh =p 8064 192.169.125.131 


此 时 ，SSH 访问 就 会 被 防火 墙 拦截 了 。 
上 机 实 训 : 服务 器 的 安全 管理 


本 实 训 步 又 自行 设计 ， 抓 图 记录 每 个 操作 步 又， 并 对 结果 进行 简要 分 析 ， 对 遇 到 的 故 
障 和 解决 方法 进行 记录 并 分 享 。 

可 参照 教 村 完成 实 训 步 骤 设 计 。 

为 每 一 实 训 任务 单独 编写 实 训 报告 并 提交 。 

1. 实 训 任 务 列表 

任务 一 : 账号 与 密码 安全 管理 。 

任务 二 : 权限 管理 。 

任务 三 ， 防火墙 管 理 

2. 实 训 步 又 个 ) 


课 后 练习 


(1) 创建 账号 testuserl 、testuser2 、testuser3 。 

(2) 创建 组 testgroup， 并 把 testuserl 、testuser2 加 入 testgroup。 

(3) 在 新 的 控制 台 分 别 登录 这 三 个 测试 账户 。 

(4) 使 用 testuserl 用 户 创建 目录 /testdir， 并 设置 同 组 成 员 具 有 写 权限 。 
(5) 把 testdir 的 属 组 改 为 testgroup。 























(93. 
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(6) 使 用 testuserl 用 户 测 试 在 目录 testdir 下 创建 新 的 文件 testfile1， 使 用 testuser2 用 
户 测试 在 目录 testdir 下 创建 新 的 文件 testfile2， 使 用 testuser3 用 户 测试 在 目录 testdir 下 创 
建新 的 文件 testfile3， 记 录 结 果 。 

(7) 使 用 ACL 访问 控制 为 testuser3 设置 对 目录 testdir 的 写 权 限 。 

(8) 使 用 testuser3 用 户 测 试 在 目录 testdir 下 创建 新 的 文件 testfile3， 记 录 结 果 。 

查看 目录 testdir 的 安全 上 下 文 ， 记 录 结 果 。 
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项 目 导 入 

网 络 云 时 代 的 到 来 ， 为 企业 带 来 了 机 遇 和 挑战 。 大 多 数 企 业 和 事业 单位 正在 进行 云 技 
术 的 应 用 和 尝试 。 

小 刘 收 到 领导 下 发 的 任务 通知 ， 要 求 对 公司 员工 进行 云 技术 的 知识 普及 ， 同 时 研究 部 
署 和 使 用 公司 私有 专用 云 ， 并 为 把 公司 业务 迁移 到 云 中 进行 准备 。 

项 目 分 析 


自从 互联 网 谴 生 后 ， 随 着 云 技术 的 成 熟 ， 下 一 次 互联 网 大 变革 已 经 到 来 

如 果 说 TCP/IP 协议 支撑 起 了 互联 网 的 物理 基础 ， 那 么 ， 云 技术 就 是 支撑 新 一 代 互 联 
网 应 用 的 基石 。 通 过 云 技术 ， 海 量 的 资源 被 聚集 、 被 使 用 、 被 再 分 配 、 被 销售 …… 海量 的 
应 用 集中 在 云 中 ， 海 量 的 数据 被 处 理 加 工 。 下 一 代 的 网 络 体 系 ， 将 是 数据 和 计算 超 量 聚 
集 ， 并 催生 出 全 新 应 用 和 商业 的 模式 。 

对 于 企业 来 说 ， 这 既是 机 遇 ， 也 是 挑战 。 云 技术 可 以 有 效 降 低 企 业 的 成 本 ， 提 升 企业 
的 效率 ， 并 创造 新 的 利润 来 源 。 如 果 不 能 及 时 跟 上 云 技术 的 发 展 ， 就 会 被 时 代 丢 弃 。 

本 项 目 从 云 技术 的 知识 开始 ， 对 云 技术 的 关键 技术 和 发 展 进行 介绍 ， 并 对 私有 云 的 搭 
建 和 公有 云 的 使 用 进行 进一步 的 探讨 。 

能 力 目标 

根据 需要 选择 合适 的 云 技术 。 

掌握 搭建 云 平台 的 技术 。 

熟悉 各 种 云 平台 的 使 用 。 


知识 目标 


了 解 云 技术 的 基本 知识 和 关键 技术 。 
了 解 IaaS、PaaS、SaaS 多 层面 的 云 服务 。 
了 解 主流 的 云 平 台 和 云 服务 商 。 


任务 一 : 了 解 云 技术 
知识 储备 
5.1 云 技术 简介 


关系 ， 例 如 Google、Yahoo、 百 度 等 搜索 引擎 公司 的 云 搜索 ，Amazon、EMC 等 存储 方案 
商 提出 的 云 存储 ， 瑞 星 、 趋 势 、 金 山 等 杀毒 软件 厂商 的 云 安全 ， 以 及 SalesForce 等 在 线 软 
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件 服务 提供 商 实现 的 诸多 云 服务 。 这 些 应 用 ， 其 特点 可 以 总 结 为 “规模 可 伸缩 、 虚 拟 化 、 
高 可 靠 性 、 通 用 性 、 按 需 服 务 、 高 性 价 比 等 ”。 

从 技术 角度 看 ， 云 技术 是 指 在 广域网 或 局 域 网 内 将 硬件 、 软 件 、 网 络 等 系列 资源 统一 
起 来 ， 实 现 数据 的 计算 、 储 存 、 处 理 和 共享 的 一 种 托管 技术 ， 如 图 5-1 所 示 。 








莹 源 已 
亏本 般 
- 一 = 一 
S35 
三 至 己 加 
殴 [ololo=1ololo 
5-1 云 技术 


通常 情况 下 ， 服 务 器 资源 多 数 处 于 闲置 状态 ， 在 服务 器 的 工作 时 间 里 ， 绝 大 多 数 时 
间 ， 资 源 都 有 超过 百 分 之 五 十 以 上 处 于 空闲 状态 ， 有 时 甚至 会 超过 百 分 之 九 十 。 这 是 很 明 
显 的 浪费 ， 但 是 ， 我 们 也 不 能 够 降低 服务 器 的 配置 ， 不 然 重 负荷 到 来 的 时 候 ， 服 务 器 承受 
不 住 就 要 衣 溃 了 。 

云 计 算 最 初 就 是 想 利用 计算 机 的 闲散 资源 做 些 事情 。 后 来 随 着 技术 的 发 展演 进 ， 把 富 
余 资 源 汇集 起 来 ， 形 成 了 强大 的 计算 能 力 ， 再 利用 虚拟 机 技术 ， 把 计算 能 力 转化 为 一 个 个 
虚拟 机 ， 这 样 来 实现 对 资源 的 充分 利用 。 再 后 来 ， 把 这 些 虚 拟 计算 能 力 进行 销售 ， 就 是 我 
们 所 说 的 云 商业 模式 了 。 

通俗 的 说 ， 云 ， 就 好 比 一 个 集 贸 市 场 。 原 来 是 很 多 商户 聚集 在 一 起 ， 各 自 独立 运营 的 
一 种 分 散 经 营 模式 。 每 个 商户 就 像 是 网 络 中 的 一 个 个 企业 网 络 ， 各 自 独立 。 现 在 ， 新 建 一 
个 百货 中 心 ， 通 过 集中 化 的 管理 服务 ， 提 供 商户 运营 所 需 的 所 有 服务 需求 。 每 家 商户 到 百 
货 中 心 ， 可 以 租赁 商铺 店面 ， 专 注 于 核心 业务 的 实现 ， 其 他 的 基本 运行 所 需 ， 由 百货 中 心 
来 统一 完成 。 

对 于 百货 中 心 ， 可 以 通过 集团 化 的 运营 ， 降 低 成 本 ， 获 取 利润 ;对 于 商户 ， 可 以 以 便 
宣 的 价格 ， 享 受 优质 贴心 的 服务 ， 节 约 时 间 精 力 金钱 来 创造 更 大 的 财富 。 从 这 个 角度 上 
说 ， 云 这 种 商业 模式 是 很 友好 而 高 效 的 。 

在 传统 模式 下 ， 当 企业 用 户 需要 建立 自己 的 网 络 业务 时 ， 他 需要 购买 服务 器 ， 聘 用 专 
门 的 信息 管理 专业 人 员 进行 管理 ， 租 用 线路 ， 购 买 和 申请 域名 及 瑟 地 址 ， 选 择 比较 各 种 适 
合 的 技术 和 软件 版 本 ， 开 发 自己 需要 的 应 用 ， 测 试 应 用 以 及 在 不 同 平台 下 的 效果 ， 可 能 还 
要 建立 自己 的 专业 机 房 和 对 应 的 管理 团队 ， 甚 至 开发 维护 团队 。 虽 然 复杂 而 繁 元 ， 但 又 不 
可 或 缺 。 

现在 使 用 云 服 务 来 建设 ， 那 么 就 会 简单 得 多 。 一 切 基 础 设施 都 不 用 烦心 ， 直 接 按照 所 
需 ， 从 云 中 租 任 服务器、 线路、 系统 和 应 用 平台 、 测 试 机 、 域 名 、IP 地 址 等 。 用 户 不 需要 
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为 此 花费 任何 精力 ， 建 设 维护 都 交 给 云 的 技术 团队 ， 用 户 唯 一 需要 的 ， 就 是 发 展 自己 的 业 
务 内 容 ， 而 且 还 可 以 极 大 地 降低 花费 。 

如 图 5-2 所 示 ， 互 联网 的 体系 结构 ， 正 以 云 为 核心 进行 演进 转化 。 云 将 成 为 互联 网 的 
大 脑 ， 信 息 的 汇聚 、 处 理 ， 各 种 应 用 都 将 汇聚 集中 在 云 中 ， 强 化 效率 ， 并 且 无 止境 地 提升 
性 能 。 而 传统 互联 网 、 移 动 互联 网 、 物 联网 等 ， 将 成 为 外 在 的 接 入 和 延伸 ， 作 为 云 的 接 入 
端 和 被 控 端 。 


物 联 网 
~ 大 数据 


音频 采集 器 号 3 




















ly 
移动 互联 网 





云 计 算 
5-2 云 技术 成 为 互联 网 中 心 
预计 ， 网 络 中 的 应 用 ， 百 分 之 八 十 以 上 将 迁移 到 云 。 也 许 ， 未 来 的 网 络 世 界 ， 将 是 云 


作为 控制 功能 端 ， 传 统 互联 网 和 移动 互联 网 作为 接 入 端 ， 物 联网 、 机 器 人 作为 被 控 端的 三 
层 模式 。 而 云 技 术 ， 是 这 一 体系 的 核心 技术 之 一 。 


5.2 云 计 算 的 关键 技术 


云 的 使 用 是 对 现 有 多 种 网 络 技术 的 集成 。 云 计算 的 关键 技术 包括 虚拟 化 技术 、 分 布 式 
海量 数据 存储 、 海 量 数据 管理 技术 、 分 布 式 计算 模式 、 云 计算 平台 管理 技术 等 。 

1. 虚拟 化 技术 

虚拟 化 技术 是 指 应 用 在 虚拟 机 上 ， 而 不 是 在 真实 的 主机 上 运行 ， 它 可 以 扩大 硬件 的 容 
量 ， 简 化 软件 的 重新 配置 过 程 ， 减 少 软件 虚拟 机 相关 开销 和 支持 更 广泛 的 操作 系统 。 通 过 
虚拟 化 技术 ， 可 实现 软件 应 用 与 底层 硬件 相隔 离 ， 它 包括 将 单个 资源 划分 成 多 个 虚拟 资源 
的 裂 分 模式 ， 也 包括 将 多 个 资源 整合 成 一 个 虚拟 资源 的 聚合 模式 。 虚 拟 化 技术 根据 对 象 ， 
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可 分 成 存储 虚拟 化 、 计 算 虚 拟 化 、 网 络 虚拟 化 等 ， 计 算 虚拟 化 又 分 为 系统 级 虚拟 化 、 应 用 
级 虚拟 化 和 桌面 虚拟 化 。 在 云 计 算 实 现 中 ， 计 算 系统 虚拟 化 是 一 切 建立 在 “ 云 ” 上 的 服务 
与 应 用 的 基础 。 虚 拟 化 技术 主要 应 用 在 CPU、 操 作 系统 、 服 务 器 等 多 个 方面 ， 是 提高 服务 
效率 的 最 佳 解决 方案 。 

2. 分 布 式 海量 数据 存储 


云 计 算 系 统 由 大 量 服务 器 组 成 ， 同 时 为 大 量 用 户 服 务 ， 因 此 ， 云 计算 系统 采用 分 布 式 
存储 的 方式 存储 数据 ， 用 元 余 存 储 的 方式 (集群 计算 、 数 据 元 余 和 分 布 式 存储 ) 保 证 数据 的 
可 靠 性 。 和 元 余 的 方式 通过 任务 分 解 和 集群 ， 用 低 配 机 器 替代 超级 计算 机 的 性 能 ， 来 保证 低 
成 本 ， 这 种 方式 能 够 保证 分 布 式 数据 的 高 可 用 、 高 可 靠 和 经 济 性 ， 即 为 同一 份 数据 存储 多 
个 副本 。 

3. 海量 数据 管理 技术 

云 计算 需要 对 分 布 的 、 海 量 的 数据 进行 处 理 、 分 析 ， 因 此 ， 数 据 管理 技术 必需 能 够 高 
效 地 管理 大 量 的 数据 。 云 计算 系统 中 的 数据 管理 技术 主要 是 Google 的 BigTable 数据 管理 
技术 和 Hadoop 团队 开发 的 开源 数据 管理 模块 HBase。 由 于 云 数据 存储 管理 形式 不 同 于 传 
统 的 RDBMS 数据 管理 方式 ， 如 何在 规模 巨大 的 分 布 式 数据 中 找到 特定 的 数据 ， 也 是 云 计 
算数 据 管理 技术 所 必须 解决 的 问题 。 

由 于 管理 形式 的 不 同 ， 造 成 传统 的 SQL 数据 库 接口 无 法 直接 移植 到 云 管理 系统 中 来 ， 
为 云 数据 管理 提供 RDBMS 和 SQL 的 接口 、 保 证 数据 安全 性 和 数据 访问 高 效 性 ， 都 是 云 计 
算 关 注 的 重点 问题 。 

4. 分 布 式 计算 模式 


云 计 算 提 供 了 分 布 式 的 计算 模式 ， 客 观 上 要 求 必 须 有 分 布 式 的 编程 模式 。 云 计算 采用 
了 一 种 思想 简洁 的 分 布 式 并 行 编程 模型 Map-Reduce。Map-Reduce 是 一 种 编程 模型 和 任务 
调度 模型 ， 主 要 用 于 数据 集 的 并 行 运算 和 并 行 任务 的 调度 处 理 。 在 该 模式 下 ， 用 户 只 需要 
自行 编写 Map 函数 和 Reduce 函数 即 可 进行 并 行 计 算 。 其 中 ，Map 函数 中 定义 各 节点 上 的 
分 块 数据 的 处 理 方法 ， 而 Reduce 函数 中 定义 中 间 结 果 的 保存 方法 及 最 终结 果 的 归纳 方法 。 


5. 云 计算 平台 管理 技术 


云 计 算 资源 规模 庞大 ， 服 务 器 数量 众多 ， 并 分 布 在 不 同 的 地 点 ， 同 时 运行 着 数 百 种 应 
用 ， 如 何 有 效 地 管理 这 些 服务 器 ， 保 证 整个 系统 提供 不 间断 的 服务 ， 是 巨大 的 挑战 。 云 计 
算 系 统 的 平台 管理 技术 ， 能 够 使 大 量 的 服务 器 协同 工作 ， 方 便 进 行业 务 部 署 和 开通 ， 快 速 
发 现 和 恢复 系统 故障 。 通 过 自动 化 、 智 能 化 的 手段 实现 大 规模 系统 的 可 靠 运营 。 


5.3 云 技术 的 发 展 


互联 网 络 从 1968 年 ARPAnet 建成 开始 计算 ， 经历 了 酝酿 、 互 联 、Web 化 、 云 化 几 个 
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大 阶段 。 到 20 世纪 80 年 代 ， 互 联网 核心 技术 体系 TCP/IP 技术 和 常见 网 络 服务 基本 成 
型 ， 就 好 像 怀胎 十 月 ， 刚 诞生 的 婴儿 ; 到 20 世纪 90 年 代 ， 全 球 信息 高 速 公路 建设 快速 发 
展 ， 互 联网 铺 遍 全 球 ， 实 现 了 世界 互联 互通 ， 就 好 像 少年 的 成 长 壮大 ; 到 2000 年 左右 ， 
网 络 应 用 逐渐 转向 Web 化 ， 像 青年 一 般 强 壮 与 成 熟 ， 到 2010 年 左右 ， 云 技术 基本 成 型 ， 
互联 网 技术 进入 壮年 阶段 。 目 前 ， 在 关键 领域 ， 云 计算 技术 已 经 就 绪 。 


5.3.1 云 技术 成 熟 的 标志 





1. 标准 化 

公共 技术 的 长 期 发 展 ， 使 得 基础 组 件 的 标准 化 非常 完善 ， 硬 件 层面 的 互通 已 经 没有 阻 
碍 ， 这 使 得 资源 的 集成 变 得 极其 容易 ， 大 规模 运营 的 云 计算 能 够 极 大 降低 单位 建设 成 本 。 

2. 虚拟 化 与 自动 化 


虚拟 化 技术 不 断 纵 深发展 ，IT 资源 已 经 可 以 通过 自动 化 的 架构 提供 全 局 动态 调度 能 
力 ， 自 动 化 提升 了 IT 架构 的 伸缩 性 和 扩展 性 。 简 单 地 说 ， 就 是 资源 的 汇聚 和 拆 分 技术 已 
3. 并 行 /分 布 式 架构 


大 规模 的 计算 与 数据 处 理 系统 已 经 在 分 布 式 、 并 行 处 理 的 架构 上 得 到 广泛 应 用 ， 计 算 
密集 、 数 据 密集 、 大 型 数据 文件 系统 成 为 云 计算 的 实现 基础 ， 从 而 要 求 整个 基础 架构 具有 
更 高 的 弹性 与 扩展 性 。 

4. 网 络 速 度 

大 规模 的 数据 交换 需要 超 高 带宽 的 支撑 ， 网 络 平 台 在 高 速 带宽 支持 下 ， 可 具备 更 扁平 

的 结构 ， 使 得 云 计 算 的 信息 交互 能 以 最 短 的 快速 路 径 执 行 ， 如 图 5-3 所 示 。 
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图 5-3 云 技术 发 展 阶段 与 技术 领域 
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因此 ， 从 传统 Web 服务 向 云 计算 服务 发 展 已 经 具备 技术 基础 ， 而 企业 的 IT 业务 从 信 
息 架构 演进 到 云 的 弹性 的 IT 服务 也 成 为 必然 。 


5.3.2 云 的 三 个 层面 服务 并 存 





从 技术 上 看 ， 云 平台 的 系统 结构 从 底 向 上 ， 依 次 是 Networking( 网 络 层 )、Storage( 存 储 
层 )、Servers( 服 务 器 层 )、Virtualization( 虚 拟 化 层 )、O/S( 系 统 层 )、Middleware( 中 间 件 层 )、 
Runtime( 运 行 平台 层 )、Data( 数 据 层 )、Applications( 应 用 程序 层 )， 共 9 个 层面 。 

云 中 的 服务 通常 分 为 三 个 层次 ,分 别 是 基础 架构 即 服务 (Infrastructure as a Service， 
IaaS)、 平 台 即 服务 (Platform as a Service，PaaS) 和 软件 即 服 务 (Software as a Service， 
SaaS)， 如 图 5-4 所 示 。 
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5-4 ”服务 器 层次 结构 与 三 层 云 服务 


对 于 IaaS 业务 ， 服 务 商 构建 虚拟 化 平台 ， 向 外 提供 虚拟 主机 服务 ， 用 户 可 以 操作 管理 
的 ， 包 括 系统 层 往 上 的 部 分 。 

对 于 PaaS 业务 ， 运 行 环 境 runtime 层 已 经 搭建 好 ， 用 户 可 以 直接 在 此 平台 上 开发 部 署 
应 用 和 数据 。 平 台 层 之 下 ， 看 不 到 ， 也 管理 不 了 。 

对 于 SaaS 业务 ， 用 户 可 以 直接 部 署 使 用 应 用 ， 底 层 支持 和 配置 无 权 、 也 不 需要 进行 
管理 和 操作 。 

1. laaS 服务 (基础 架构 即 服务 ) 

最 基础 的 云 计 算 服 务 是 IaaS。 在 这 一 层面 ， 通 过 虚拟 化 、 动 态 化 ， 将 开 基础 资源 ( 计 
算 、 网 络 、 存 储 ) 形 成 资源 池 。 资 源 池 即 是 计算 能 力 的 集合 ， 终 端 用 户 (企业 ) 可 以 通过 网 络 
获得 自己 所 需要 的 计算 资源 ， 运 行 自己 的 业务 系统 ， 这 种 方式 使 用 户 不 必 自 己 建设 这 些 基 
础 设施 ， 而 只 是 通过 对 所 使 用 的 资源 付费 即 可 。 
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IaaS 提供 的 商品 是 虚拟 机 ， 也 就 是 我 们 所 说 的 VPS(Virtual Private Server)。 

2. PaaS 服务 (平台 即 服务 ) 

在 IaaS 之 上 是 PaaS 层 。 这 一 层面 除了 提供 基础 计算 能 力 ， 还 具备 了 业务 的 开发 运行 
环境 ， 对 于 企业 或 者 终端 用 户 而 言 ， 这 一 层面 的 服务 ， 可 以 为 业务 创新 提供 快速 、 低 成 本 
的 环境 。 

PaaS 提供 的 商品 是 应 用 平台 ， 提 供 更 有 针对 性 的 开发 、 部 署 和 运行 的 平台 环境 。 

3. SaaS( 软 件 即 服务 ) 

云 体系 的 最 上 层 是 SaaS。SaaS 的 软件 (Software) 是 拿 来 即 用 的 ， 不 需要 用 户 安装 ， 因 
为 SaaS 真正 运行 在 ISP 的 云 计算 中 心 ，SaaS 的 软件 升级 与 维护 也 无 需 终 端 用 户 参 与 ， 
SaaS 是 按 需 使 用 的 软件 ， 传 统 软件 买 了 一 般 是 无 法 退货 的 ， 而 SaaS 是 灵活 收费 的 ， 不 使 
用 就 不 付费 。 

SaaS 提供 的 是 功能 软件 ， 就 像 文 档 处 理 的 WPS、 处 理 图 像 的 Photoshop 一 样 ， 拿 来 即 


用 ， 用 完 走 人 。 云 计算 的 三 层 服务 体系 如 图 5-5 所 示 。 


民 
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图 5-5 云 计 算 的 三 层 服务 体系 


层次 化 的 云 计算 体系 一 般 也 称 为 IP-S 云 计算 ， 各 层 可 独立 提供 云 服务 ， 下 一 层 的 架 
构 也 可 以 为 上 一 层 云 计算 提供 支撑 。 以 搜狗 拼音 为 例 ， 由 大 型 服务 器 群 、 高 速 网 络 、 存 储 
系统 等 组 成 的 IaaS 架构 为 内 部 的 业务 开发 部 门 提供 基础 服务 ， 而 内 部 业务 开发 系统 在 IaaS 
上 构建 了 PaaS， 并 部 署 运行 搜狗 拼音 应 用 系统 ， 这 样 一 个 大 型 的 系统 对 互联 网 用 户 而 言 ， 
就 是 一 个 大 规模 Saas 应 用 。 


5.3.3 云 技术 发 展 


云 技术 的 起 源 可 以 追溯 到 1959 年 6 月 ，Christopher Strachey 发 表 虚 拟 化 论文 ， 虚 拟 化 
是 今天 云 计算 基础 架构 的 基石 。 
1984 年 ，Sun 公司 的 联合 创始 人 John Gage 说 出 了 “网 络 就 是 计算 机 ”的 名 言 ， 用 于 
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描述 分 布 式 计算 技术 带 来 的 新 世界 ， 今 天 的 云 计算 正在 将 这 一 理念 变 成 现实 。 

1996 年 ， 网 格 计算 Globus 开源 网 格 平台 起 步 。 

1998 年 ，VMware( 威 豁 公司 ) 成 立 ， 并 且 首 次 引入 了 x86 的 虚拟 技术 ， 使 虚拟 化 技术 
走向 成 熟 。 

1999 年 ，Marc Andreessen 创建 了 LoudCloud， 是 第 一 个 商业 化 的 IaaS 平台 。 

2000 年 ，SaaS 兴起 。 

2005 年 ，Amazon 的 Amazon Web Services 云 计算 平台 投入 使 用 。 

2006 年 ，Amazon 相继 推出 了 在 线 存储 服务 S3 和 弹性 计算 云 EC2 等 云 服务 ， 引 领 了 
云 技术 的 发 展 方向 。 

2008 年 ，Gartner 披露 了 十 大 数据 中 心 的 突破 性 技术 ， 虚 拟 化 和 云 计 算 上 榜 。 

云 时 代 彻 底 到 来 了 。 

自 Amazon 的 AWS 云 平 台 成 功 之 后 ， 各 大 IT 公司 竞相 向 云 计 算 厂商 转型 ， 相 继 加 入 
了 云 技术 的 大 家 庭 ， 如 图 5-6 所 示 。 这 也 极 大 地 推进 了 云 的 普及 和 技术 成 熟 。 
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5-6 云 技术 大 家 族 








按照 各 大 公司 推出 的 产品 分 类 ， 可 以 分 为 SaaS、PaaS、IaaS 三 大 类 。Amazon 提供 的 
是 典型 的 IaaS 服务 ， 同 样 类 型 的 还 有 IBM、HP、Sun 等 大 型 公司 ，Facebook 公司 提供 的 
服务 可 以 归属 于 PaaS 服务 类 型 ，Windows Azure 也 提供 了 PaaS 服务 ;SaaS 的 代表 有 
Google 和 Yahoo 等 ， 如 图 5-7 所 示 。 云 服务 商 的 技术 虽然 看 起 来 千差万别 ， 但 是 ， 同 质 化 
也 很 明显 ， 所 以 这 里 只 是 粗略 划分 ， 让 大 家 做 个 初步 了 解 。 

我 国 云 技术 起 步 较 晚 ， 但 是 国家 重视 ， 云 基础 设施 和 应 用 发 展 很 快 。 
按照 国家 规划 ， 到 2017 年 ， 云 计算 在 重点 领域 的 应 用 得 到 了 深化 ， 产 业 链 条 基本 健 
全 ， 初 步 形成 了 安全 保障 有 力 ， 服 务 创 新 、 技 术 创 新 和 管理 创新 协同 推进 的 云 计 算 发 展 格 
局 ， 带 动 了 相关 产业 的 快速 发 展 。 

预计 到 2020 年 ， 云 计算 应 用 基本 普及 ， 云 计算 服务 能 力 达到 国际 先进 水 平 ， 通 过 掌 
担 云 计算 关键 技术 ， 将 形成 若干 具有 较 强国 际 竞争 力 的 云 计算 骨干 企业 。 云 计算 信息 安全 
监管 体系 和 法 规 体系 将 得 到 健全 。 大 数据 挖掘 分 析 能 力 将 显著 提升 。 云 计算 将 成 为 我 国信 
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息 化 的 重要 形态 和 建设 网 络 强国 的 重要 支撑 ， 推 动 经 济 社会 各 领域 信息 化 水 平 大 幅 提高 。 








图 5-7 三 个 类 型 的 云 技术 公司 


可 见 ， 云 技术 的 应 用 前 景 非常 广阔 。 要 大 力 发 展 云 技术 和 产业 ， 就 需要 大 量 的 云 技术 
相关 专业 的 人 才 。 


任务 二 : 搭建 OwnCloud 私有 存储 云 
知识 储备 


对 众多 企业 来 说 ， 自 身 计 算 机 设备 的 性 能 也 许 永远 无 法 满足 需求 ， 需 要 不 断 采 购 ， 不 
断 升 级 。 即 使 如 此 ， 也 要 面临 数据 量 暴 增 、IT 环境 日 益 复杂 而 难于 管理 ， 并 且 ， 效 果 可 能 
仍然 满足 不 了 企业 的 需求 。 


5.4 公有 云 、 私 有 云 、 混 合 云 


云 计 算是 一 种 全 新 的 商业 模式 ， 其 核心 部 分 依然 是 数据 中 心 ， 它 使 用 的 硬件 设备 主要 
是 成 千 上 万 的 工业 标准 服务 器 。 企 业 和 个 人 用 户 通过 高 速 互联 网 得 到 计算 能 力 ， 从 而 避免 
了 大 量 的 硬件 投资 。 

从 云 计 算 到 云 商业 ， 凡 是 拥有 一 定 富余 计算 能 力 的 企业 或 机 构 都 可 以 建设 云 ， 甚 至 ， 

我 们 自己 也 可 以 在 家 中 的 计算 机 上 构建 家 庭 私 有 云 。 
而 具有 更 丰富 资源 的 企业 不 满足 于 只 建设 内 部 云 ， 富 余 的 计算 和 存储 能 力也 让 他 们 的 
目光 投向 更 远 的 目标 一 一 向 外 提供 计算 服务 。 从 对 消费 者 级 的 服务 ， 逐 渐 发 展 到 产业 级 服 
务 ， 即 为 互联 网 企业 、 政 府 、 各 种 需要 大 容量 运算 的 企业 提供 服务 。 

公有 云 是 云 计算 服务 提供 商 为 公众 提供 服务 的 云 计算 平台 ,理论 上 ， 任 何人 都 可 以 通 
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过 授权 接 入 该 平台 。 公 有 云 可 以 充分 发 挥 云 计 算 系统 的 规模 经 济 效益 ， 但 同时 ， 也 增加 了 
安全 风险 。 

私有 云 则 是 云 计算 服务 提供 商 为 企业 在 其 内 部 建设 的 专 有 云 计 算 系统 。 私 有 云 系统 存 
在 于 企业 防火 墙 之 内 ， 只 为 企业 内 部 服务 。 与 公有 云 相 比 ， 私 有 云 的 安全 性 更 好 ， 但 成 本 
也 更 高 。 云 计算 的 规模 经 济 效益 也 受到 了 限制 ， 整 个 基础 设施 的 利用 率 要 远 低 于 公有 云 。 

混合 云 则 是 同时 提供 公有 和 私有 服务 的 云 计算 系统 ， 它 是 介 于 公有 云 和 私有 云 之 间 的 
一 种 折 中 方案 。 

私有 云 的 优势 在 于 安全 。 数 据 安全 对 于 企业 来 说 ， 是 至 关 重要 的 ， 公 有 云 服务 可 能 存 
在 不 确定 的 安全 隐患 ， 通 常 ， 在 公有 云 平台 上 部 署 那 些 非 关 键 性 业务 。 企 业 ， 尤 其 是 大 型 
企业 ， 会 更 多 地 倾向 于 选择 私有 云 计算 平台 。 

公有 云 的 优势 在 于 其 规模 经 济 效益 ， 价 格 相对 便宜 很 多 。 大 多 数 企业 选择 云 计算 方案 
是 出 于 成 本 考虑 。 

混合 云 则 既 可 以 尽 可 能 多 地 发 挥 云 计算 系统 的 规模 经 济 效益 ， 同 时 ， 又 可 以 保证 数据 
安全 性 。 那 些 不 是 很 敏感 的 非 关键 业务 ， 可 以 由 混合 云 中 的 公有 模块 实现 ， 而 对 那些 安全 
性 要 求 较 高 的 应 用 ， 则 可 以 迁移 到 私有 模块 实现 。 混 合 云 可 以 引入 更 多 诸如 身份 认证 、 数 
据 隔离 、 加 密 等 安全 技术 ， 来 保证 数据 的 安全 ， 同 时 保留 云 计算 系统 的 规模 经 济 效益 。 


5.5 云 平 台 简介 


全 球 公 共 云 计算 市 场 占有 率 排 前 三 名 的 是 : 亚马逊、 微软 、 阿 里 云 ， 这 三 家 名 字 都 以 
字母 A 开头 (亚马逊 AWS、 阿 里 云 AliCloud、 微 软 Azure) 的 云 计算 公司 已 经 组 成 全 球 公 共 
云 市 场 的 第 一 阵营 。 

1. Amazon 的 弹性 计算 云 AWS(Amazon Web Services) 


Amazon 是 最 为 成 功 的 云 服 务 商 ， 具 有 最 高 的 市 场 份额 、 最 好 的 服务 ， 是 云 技术 的 领 
航 者 。 

Amazon 是 互联 网 上 最 大 的 在 线 零售 商 ， 为 了 应 付 交易 高 峰 ， a 
不 得 不 购买 了 大 量 的 服务 器 。 而 在 大 多 数 时 间 ， 大 部 分 服务 器 闲 国 EFTIFET4 
置 ， 造 成 了 很 大 的 浪费 。 为 了 合理 利用 空闲 服务 器 ，Amazon 建立 国生 tt 
了 自己 的 云 计算 平台 一 一 弹性 计算 云 EC2(elastic compute cloud)， 
并 且 是 第 一 家 将 基础 设施 作为 服务 出 售 的 公司 。 

Amazon 将 自己 的 弹性 计算 云 建立 在 公司 内 部 的 大 规模 集群 计算 的 平台 上 ， 而 用 户 可 
以 通过 弹性 计算 云 的 网 络 界面 去 操作 在 云 计算 平台 上 运行 的 各 个 实例 (instance)。 用 户 使 用 
实例 的 付费 方式 由 用 户 的 使 用 状况 决定 ， 即 用 户 只 需 为 自己 所 使 用 的 计算 平台 实例 付费 
运行 结束 后 计 费 也 随 之 结束 。 这 里 所 说 的 实例 即 是 由 用 户 控制 的 完整 的 虚拟 机 运行 实例 。 
通过 这 种 方式 ， 用 户 不 必 自己 去 建立 云 计 算 平台 ， 节 省 了 设备 与 维护 费用 。 

AWS 的 优势 在 于 其 丰富 的 细 分 产品 和 它 的 应 用 市 场 ， 尤 其 是 后 者 ， 它 能 够 帮助 云 计 
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算 玩家 将 触角 延伸 到 更 广泛 的 传统 IT 领域 ， 具 有 颠覆 性 的 想象 力 。 在 创新 层面 以 及 产品 
的 丰富 程度 上 ，Amazon 遥遥 领先 。 


2. Microsoft 的 Windows Azure Platform 


微软 是 世界 上 最 大 的 软件 商 ， 转 型 到 云 服 务 商 后 ， 也 成 了 
最 成 功 的 云 服务 商 之 一 。 微 软 的 云 计算 战略 包括 三 大 部 分 ， 为 。 国 时 Microsoft 
自己 的 客户 和 合作 伙伴 提供 三 种 不 同 的 云 计 算 运营 模式 。 

(1) 微软 运营 。 

微软 自己 构建 及 运营 公共 云 的 应 用 和 服务 ， 同 时 向 个 人 消费 者 和 企业 客户 提供 云 服 
务 。 例 如 ， 微 软 向 最 终 使 用 者 提供 的 Online Services 和 Windows Live 等 服务 。 

(2) 伙伴 运营 。 

各 种 合作 伙伴 可 基于 Windows Azure Platform 开发 ERP、CRM 等 各 种 云 计 算 应 用 ， 并 
在 Windows Azure Platform 上 为 最 终 使 用 者 提供 服务 。 

微软 运营 在 自己 的 云 计算 平台 中 的 Business Productivity OnlineSuite(BPOS) 产 品 也 可 交 
由 合作 伙伴 进行 托管 运营 。BPOS 主要 包括 Exchange Online、SharePoint Online、Office 
Communications Online 和 LiveMeeting Online 等 服务 。 

(3) 客户 自 建 。 

客户 可 以 选择 微软 的 云 计 算 解 决 方案 构建 自己 的 云 计算 平台 。 微 软 可 以 为 用 户 提 供 包 
括 产 品 、 技 术 、 平 台 和 运 维 管理 在 内 的 全 面 支持 。 

微软 Azure 云 平台 的 优势 在 于 有 海量 的 高 级 技术 人 员 ， 有 丰富 的 企业 业务 经 验 ， 这 非 
常 好 地 帮助 了 微软 Azure 在 商业 领域 中 的 传统 行业 和 大 型 政 企 的 推进 。 

3. 阿里 云 (aliyun，Alicloud) 


阿里 云 计算 资源 规模 亚洲 最 大 ， 目 前 ， 阿 里 云 已 经 构建 区- 沁 阿里 云 
起 了 一 个 巨大 的 云 计算 生态 系统 ， 包 含有 76.5 万 多 付费 用 户 
(同比 增长 超过 100%)。 在 全 球 范围 内 ， 阿 里 云 在 日 本 、 新 加 
坡 、 中 东 、 欧 洲 、 澳 洲 、 美 国 东部 、 美 国 西部 等 地 设 有 14 个 地 域 节点 ， 覆 盖 全 世界 主要 
互联 网 市 场 。 

阿里 云 在 中 国 占据 绝对 主导 地 位 ，2016 年 在 中 国 公共 云 市 场 占据 50% 份 额 ， 另 外 两 家 
国际 云 计算 服务 商 微软 Azure 和 亚马逊 AWS 市 场 份额 总 和 约 10% 到 15%， 而 其 他 国内 服 
务 商 如 腾讯 云 、 百 度 云 、 华 为 云 等 正在 努力 追赶 


4. 开源 云 平台 OpenStack 
OpenStack 是 一 个 开源 的 基础 架构 ， 即 服务 (IaaS) 云 计 


算 平台 ， 可 以 为 公共 云 和 私有 云 服务 提供 云 计算 基础 架构 加 openstack 
平台 。OpenStack 使 用 的 开发 语言 是 Python， 采 用 Apache CLOUD $0f 
许可 证 发 布 该 项 目 源 代码 。 

OpenStack 开源 项 目 是 在 2010 年 由 Rackspace 公司 和 美国 国家 航空 航天 局 (NASA) 发 起 
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的 云 计算 项 目 。OpenStack 项 目 发 展 得 非常 的 快 ， 目 前 ， 有 超过 150 家 公司 和 成 千 上 万 的 
个 人 开发 者 已 经 宣布 加 入 到 该 项 目的 开发 。 在 支持 OpenStack 开发 的 一 些 大 公司 中 ， 包 括 
了 AT&T、Canonical、IBM、HP、Redhat、Suse、Intel、Cisco 、VMware 、Yahoo!、 新 
浪 、 华 为 等 一 批 在 IT 业界 非常 知名 的 公司 。 

OpenStack 的 使 命 ， 是 为 大 规模 的 公共 云 和 小 规模 的 私有 云 都 提供 一 个 易于 扩展 的 、 
弹性 云 计 算 服 务 ， 从 而 让 云 计算 的 实现 更 加 简单 和 让 云 计算 架构 具有 更 好 的 扩展 性 。 也 可 
以 说 ，OpenStack 是 一 个 云 计算 操作 系统 ， 它 提供 仅仅 通过 一 个 使 用 Web 交互 接口 的 控制 
板 (Dashboard) 来 管理 一 个 或 多 个 数据 中 心 的 所 有 计算 资源 池 、 存 储 资源 池 、 网 络 资源 池 
等 硬件 资源 。OpenStack 的 作用 是 整合 各 种 底层 硬件 资源 ， 为 系统 管理 员 提 供 Web 界面 的 
控制 面板 ， 以 方便 资源 管理 ， 为 开发 者 的 应 用 程序 提供 统一 管理 接口 ， 为 终端 用 户 提供 无 
颖 的 透明 的 云 计算 服务 。OpenStack 在 云 计算 软 硬 件 架构 的 主要 作用 上 与 操作 系统 类 似 。 


5.，ownCloud 介绍 


ownCloud 是 一 个 开源 免费 专业 的 私有 云 存 储 项 目 ， 它 
能 帮 你 快速 在 个 人 电脑 或 服务 器 上 架设 一 套 专属 的 私有 云 
文件 同步 网 盘 ， 可 以 实现 文件 跨 平台 同步 、 共 享 、 版 本 控 
制 、 团 队 协作 等 。ownCloud 能 让 你 将 所 有 的 文件 掌握 在 自 
己 的 竹中， 只 要 你 的 设备 性 能 和 空间 充足 ， 那 么 用 起 来 几 
乎 没有 任何 限制 。 

安装 好 ownCloud 的 服务 器 端 作为 主机 ， 即 可 通过 局 域 网 访问 和 使 用 你 自己 的 私有 云 
了 。 当 然 ， 你 也 可 以 将 电脑 配置 成 公 网 访问 的 形式 ， 或 者 安装 在 公 网 的 VPS 服务 器 上 ， 来 
实现 真正 的 互联 网 云 存储 服务 。 云 存储 是 在 云 计算 (cloud computing) 概 念 上 延伸 和 发 展 出 来 
的 一 个 新 的 概念 ， 是 指 通过 集群 应 用 、 网 格 技术 或 分 布 式 文件 系统 等 功能 ， 将 网 络 中 大 量 
各 种 不 同类 型 的 存储 设备 通过 应 用 软件 集合 起 来 协同 工作 ， 共 同 对 外 提供 数据 存储 和 业务 
访问 功能 的 一 个 系统 。 当 云 计 算 系统 运算 和 处 理 的 核心 是 大 量 数据 的 存储 和 管理 时 ， 云 计 
算 系统 中 就 需要 配置 大 量 的 存储 设备 ， 那 么 云 计 算 系 统 就 转变 成 为 一 个 云 存储 系统 ， 所 以 
云 存储 是 一 个 以 数据 存储 和 管理 为 核心 的 云 计算 系统 。 

ownCloud 跨 平 台 支持 Windows、Mac、Android、iOS、Linux 等 平台 ， 而 且 还 提供 了 
网 页 版 和 WebDAYV 形式 访问 ， 因 此 你 在 任何 电脑 、 手 机 上 都 能 轻松 获取 你 的 文件 。 

ownCloud 不 仅 适 用 于 个 人 使 用 ， 对 经 常 需要 传输 共享 文件 、 远 程 协 作 等 需求 的 团队 或 
公司 ， 更 是 合适 。 功 能 上 也 很 强大 : 能 支持 文件 分 享 、 获 取 文 件 链接 、 文 件 版 本 历史 控制 
(文件 删除 恢复 )、 文 件 评论 协作 、 文 件 共享 ( 可 设置 读 写 权 限 )、 图 片 音 乐 和 文档 等 文件 预 
览 、 开 放 API、 支 持 第 三 方 应 用 整合 等 。 除 了 云 存储 之 外 ，ownCloud 还 可 以 用 于 同步 日 
历 、 电 子 邮件 联系 人 、 网 页 浏览 器 的 书签 等 功能 。ownCloud 主机 服务 器 端 还 支持 将 文件 上 
传 到 公有 云 服务 ， 所 以 更 加 灵活 。 

ownCloud 项 目 使 用 了 PHP+MySQL 的 经 典 组 合 ， 无 论 在 自己 的 电脑 上 还 是 VPS 服务 
器 上 ， 基 本 上 只 要 能 支持 LAMP 架构 的 机 器 都 能 运行 ， 安 装 服务 器 端 就 像 用 PHP 程序 建 
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站 一 样 简单 。 另 外 ，ownCloud 还 提供 了 搭建 好 环境 的 虚拟 机 文件 ， 可 以 直接 在 
VMWare、VirtualBox、Hyper-V 中 运行 ownCloud 服务 器 端 。 


任务 实践 





5.6 ownCloud 存储 云 的 安装 
5.6.1 安装 LAMP 基本 环境 


1. 安装 Apache Web 服务 器 

(1) 安装 Apache 服务 : 

#yum -y install httpd 

(2) 开启 Apache 服务 : 

#systemctl start httpd.service 
(3) 设置 Apache 服务 开机 启动 : 
#systemctl enable httpd.service 
(4) 验证 Apache 服务 是 否 安 装 成 功 : 


#echo "TestSite">/var/www/html/index.html 
#lynx 127.0.0.1 


2. 安装 MariaDB 数据 库 服 务 器 

(1) 安装 MariaDB: 

#yum -y install mariadb-server mariadb 
(2) 开启 MariaDB 服务 : 


#systemctl1 start mariadb.service 


(3) 设置 开机 启动 MariaDB 服务 : 

#systemctl enable mariadb.service 

(4) 设置 数据 库 的 安全 设 定 项 : 

#mysql secure installation 

说 明 如 下 。 

Set root password?[Y/n]Y: 设置 root 账号 的 密码 。 
New password: 输入 数据 库 密码 ， 接 下 来 需要 。 
Re-enter new password: 再 次 确认 密码 。 

Remove anonymous users?[Y/n]Y: 删除 匿名 用 户 。 


.So 
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Disallow root login remotely?[Y/n]Y: 禁止 root 账号 远程 登录 数据 库 。 
Remove test database and access to it?[Y/n]Y: 删除 test 数据 库 及 权限 设 定 。 
Reload privilege tables now?[Y/n]Y: 刷新 权限 设置 。 

(5) 测试 数据 库 服 务 器 。 

使 用 刚 设置 的 root 账号 的 密码 登录 MariaDB 数据 库 ， 如 图 5-8 所 示 。 


#mysql -u root -p 


[rootB@liuxuegong html]# musql -u root -p 
Enter password 

Welcome to the MariaDB monitor. Commands end 
Your MariaDB connection id is 3 

Server version: 5.5.52-MariaDB MariaDB Server 


Copyright (c) 2888，2Z816，0racle，MariaDB Corpd 
Tupe ’help;’ or ’\h’ for help. Tupe '\c' to cld 


MariaDB [(none)]> _ 





图 5-8 登录 进入 MariaDB 数据 库 


3. 安装 PHP 相关 包 
(1) 安装 PHP 和 相关 辅助 包 ， 如 图 5-9 所 示 。 
#yum -Y install php 


php-common 





图 5-9 安装 PHP 

(2) 重启 httpd 服务 ， 让 PHP 生效 。 

httpd 服务 默认 支持 PHP， 可 以 不 做 任何 配置 ， 就 直接 运行 PHP 程序 。 不 过 要 重新 启 
动 httpd 服务 器 ， 刷 新 服务 器 配置 ， 让 新 安装 的 PHP 起 作用 : 

#sYstemct1 restart httpd.service 

(3) 写 一 个 PHP 测试 文件 : 

#vi /var/www/html/info.php 

内 容 是 : 


<?php phpinfo(); ?> 
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(4) 测试 PHP 功能 : 
#1lynx 127.0.0.1/info.php 
(5) 将 PHP 和 MySQL 关联 起 来 : 


#yum info php-mysql 
#yum -y install php-mysql 


如 果 想 让 PHP 应 用 访问 MySQL 数据 库 或 者 MariaDB 数据 库 ， 就 需要 安装 php-mysql 


软件 包 。 


(6) 安装 常用 的 PHP 模块 : 


#yum -Y install php-gd php-ldap php-odbc php-pear php-xml php-xmlrpc 
Php-mbstring php-snmp php-soap curl curl-devel 


为 了 扩展 和 增强 PHP 的 功能 ， 需 要 安装 常见 的 PHP 功能 插件 。 

(7) 重启 Apache 服务 : 

#systemctl1 restart httpd.service 

(8) 再 次 在 浏览 器 中 运行 info.php， 你 会 看 到 新 安装 的 PHP 功能 模块 的 信息 : 
#1lynx 127.0.0.1/info.php 


5.6.2 ”安装 ownCloud 云 存 储 


(1) 安装 PHP、MySQL 相关 模块 以 支持 ownCloud: 


#yum -Y install httpd php php-mysql mariadb-server sqlite php-dom 
php-mbstring php-gd php-pdo php-fpm wget vim bzip2 


有 的 组 件 可 能 已 经 安装 过 了 ， 例 如 httpd、php、php-mysql、mariadb-server， 但 还 是 写 


上 以 备 万 一 ， 在 yum 安装 时 ， 会 对 安装 的 包 进行 检查 ， 已 安装 的 组 件 不 会 重复 安装 。 
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(2) 重启 Apache 服务 : 

#systemctl1 restart httpd.service 

(3) 使 用 浏览 器 访问 info.php， 查 看 新 安装 的 模块 : 

#1lynx 127.0.0.1/info.php 

(4) 下 载 ownCloud 文件 : 

#wget http://download.owncloud.org/community/owncloud-9.0.3.tar.bz2 
(5) 解压 ownCloud 文件 ， 如 图 5-10 所 示 。 


#tar -jxvf owncloud-9.0.3.tar.bz2 -C /var/www/html/ 
#cd /var/www/html/ 
#1s -1 owncloud 


drepa 
Fupar 
drupcr 
drupcr 
Fw-r 
rw-r 
dr 


dr 
dn 


r 
r 

Xr 

r 

xr 
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xc 
xr 
rwW-r--r 


nobody 
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nobody 
nobod 

6 nobody 
nobody 
nobody 
nobody 
nobody 
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nobody 
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nobody 

2 nobody 
nobody 
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nobody 
nobody 
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nobody 
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nobody 
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wnc loud 


4896 1 
4896 


Jum 
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snobody 
nobody 
snobody 
snobody 
nobody 
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AUTHORS 


console .php 
COPYING-AGPL 


cron 
db 


index.html 
index.php 


public .php 
note .php 


robots .txt 


status .php 


sion .php 





[rootB@liuxuegong html]# 


图 5-10 解压 ownCloud 安装 文件 





(6) 让 Apache 对 owncloud 目录 拥有 读 写 权 限 ， 如 图 5-11 所 示 。 


#chown -R apache.apache /var/www/html/owncloud/ 
#15s -1 owncloud 


[root@liwaegong html]# chown -R apache.apache /var/www/html/owncloud 
[root@liwaegong html]# ls -1 owncloud 
total 144 
drwa -xr-x. 29 apache apache 4896 Jun 29 2816 
apache apache 4896 Jun 2816 

1 apache apache 8865 Jun 29 2816 AUTHORS 
apache apache 48 Jun 29 2816 

1 apache apache 3691 Jun 29 2816 console.php 
1 apache apache 34528 Jun 29 2816 COPYING-AGPL 


图 5-11 查看 ownCloud 安装 文件 的 权限 设置 








(7) 配置 MariaDB 数据 库 安 全 设置 (前 面 如 果 设 置 过 的 话 ， 


执行 -次 ): 


#mysql secure installation 

Set root password?[Y/n]New password: (输入 数据 库 
Re-enter new password: (再 次 确认 密码 ) 

Remove anonymous users?[Y/n]Y 

Disallow root login remotely?[Y/n]Y 

Remove test database and access to it?[Y/n]Y 
Reload privilege tables now?[Y/n]Y 





(8) 登录 MariaDB 数据 库 并 配置 去 数据库， 如 图 5-12、 图 5-13 所 示 。 
( 注 : 四 需要 输入 刚才 设置 的 密码 ; @@ 交 互 模式 下 ， 命 令 结束 用 英文 标点 


#mysql -u root -p 





不 用 再 做 ， 不 确定 
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mysql> create database owncloud; 

mysql> create user 'owncloud'@'localhost' identified by 
'owncloudtestpassword"'; 

mysql> grant all on owncloud.* to 'owncloud'@'localhost'; 
mysql> flush privileges; 

mysql> quit; 


[rootBliuxuegong html]# mysql -u root -p 
Enter p WC 

Welcome to the MariaDB monitor. Commands end 
Your MariaDB connection id is 3 

Server version: 5.5.52-MariaDB MariaDB Server 


Copyright (c) 2888, 2816, Oracle, MariaDB Corpd 
Tupe “help;” or ’\h’ for help. Type ’'\c’ to cld 


MariaDB [(none)]> _ 
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MariaDB [(none)]> create database ouncloud ; 
Queru 0K，1 row affected (8.19 sec) 


MariaDB [(none)]> create user ’owncloud’@’ local] 


Query OK, 8 rows affected (8.88 sec) 


MariaDB [(none)]> grant all on owncloud.x to "ol 
Query OK, 8 rows affected (8.16 sec) 


MariaDB [(none)]> flush privileges; 
Queru 0K，8 rows affected (8.88 sec) 


MariaDB [(none)]>》 quit; 
Bue 





图 5-13 ”添加 ownCloud 数据 库 和 相关 权限 





(9) 配置 完成 后 重启 Apache 和 Mariadb: 


#SYstemct1 restart httpd.service 
#systemctl1 restart mariadb.service 





(10) 至 此 ， 用 浏览 器 就 可 以 访问 了 (xx.x 
(11) 配置 防火 墙 和 SELinux， 开 放 互 联网 访问 和 限制 。 
设置 防火 墙 ， 永久 开放 服务 HTTP 和 HITPS， 并 使 用 --reload 重新 加 载 设置 。 





XX/owncloud) 。 


#firewall-cmd --permanent --zone=public --add-service=http 
#firewall-cmd --permanent --zone=public --add-service=https 
#firewall-cmd --reload 


设置 SELinux 允许 ownCloud 写 数据 (也 可 以 使 用 setenforce 0 避 开 SELinux 限制 ): 


#setsebool -P httpd unified 1 


(12) 在 客户 端 浏览 器 访问 云 平 台 系统 ， 配 置 初始 运行 选项 。 
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第 一 次 访问 ownCloud， 需 要 配置 初始 设置 项 。 

中 创建 ownCloud 云 存 储 平台 的 管理 员 账 号 密码 。 

@， 设 定数 据 存放 目录 (保持 默认 即 可 )。 

@ 选择 使 用 的 数据 库 ， 选 MySQL/MariaDB。 

接 下 来 对 数据 库 进 行 设置 。 

数据 库 用 户 : 先前 设置 的 owncloud 用 户 账号 (用 创建 的 root 账号 也 可 以 )。 
数据 库 密码 : 先前 设置 的 密码 owncloudtestpassword。 

数据 库 名 称 : 先前 设置 的 数据 库 owncloud。 

访问 主机 设置 : localhost。 

设置 完毕 ， 单 击 “ 安 装 完成 ”按钮 ， 如 图 5-14 所 示 。 











5-14 配置 ownCloud 云 平台 


5.6.3 配置 ownCloud 客户 端 ， 使 用 云 存储 


(1) 在 客户 端 上 进行 网 络 测试 ， 测 试 到 服务 器 192.168.125.131 的 网 络 连通 性 : 

#ping 192.168.125.131 

(2) 打开 浏览 器 ,访问 “服务 器 全 地 址 (192.168.125.131) 或 域名 ”+“/ownCloud” 

http://192.168.125.131/ownCloud 

(3) 下 载 客户 端 并 安装 。 

如 果 通 过 浏览 器 访问 操作 ， 不 需要 下 载 客户 端 。 

ownCloud 的 客户 端 包括 桌 面 平台 (Windows、OS X、Linux)、Android 平台 、 苹 果 平 台 
(IOS)， 使 用 什么 类 型 的 设备 系统 ， 就 下 载 对 应 的 客户 端 ， 如 图 5-15 所 示 。 
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装 应 用 进行 文件 同步 


ANDR wnload on the 
sey | 5 


使 用 桌面 应 用 连接 到 ownCloud 


向 连接 你 的 日 历 。 9% 连接 你 的 通讯 录 











肝 通过 WebDAV 访问 你 的 文件 


5-15 “下载 客户 端 
(4) 使 用 Android 客户 端 (或 其 他 平台 客户 端 ) 访 问 ownCloud。 
输入 账号 密码 ， 登 录 ownCloud 云 服务 器 。 客 户 端 简洁 易 用 ， 如 图 5-16 所 示 


登录 初始 界面 设置 共享 文件 
图 5-16 使 用 Android 客户 端 
(5) 创建 和 管理 组 和 用 户 。 
ownCloud 不 支持 用 户 注 册 ， 新 建 用 户 需 要 使 用 管理 账 





里 账号 进行 添加 (默认 管理 权限 的 组 
是 admin)。 

创建 组 时 ， 一 个 组 可 以 增加 多 个 管理 员 ; 创建 用 户 时 ， 一 个 用 户 可 以 分 配 在 多 个 组 
中 ， 如 图 5-17 所 示 。 








回 | 图 | 区 





5-17 用户 和 组 管理 
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项 目 五 “ 云 平台 的 使 用 侠 国 
(6) 上传 文件 到 云 中 。 


单 击 “+” 进 行文 件 上 传 ， 如 图 5-18 所 示 。 

全 部 文件 重 
收藏 

分 享 给 您 的 文件 


您 分 享 的 文件 


SS 人 人 人 人才 轿 


分 享 链接 的 文件 


5-18 上传 文件 


(7) 在 云 服 务 器 上 共享 或 下 载 文件 。 
单 击 “<” 打 开 共 享 设置 ， 进 行 共享 ， 单 击 “...” 按 钮 打开 更 多 设置 ， 可 以 查看 文件 
的 详细 信息 ， 对 文件 做 重新 命名 、 下 载 和 删除 操作 ， 如 图 5-19 所 示 。 


test2 
修改 日 明 丰 279 后 16 小 时 前 


分 享 给 其 他 用 户 、 组 或 远程 用 户 


@ iceom 5 5 es 
加 创建 加 更 改 加 到 除 









i 分 享 链接 
里 全 名 hgpy1192168.10224/ownclouajindex php/s, 
二 但 作者 

了 设置 过 期 昌 期 


es 


5-19 ”共享 文件 和 下 载 文件 


上 机 实 训 : 云 平台 的 使 用 
本 实 训 步 又 自行 设计 ， 抓 图 记录 每 个 操作 步骤 ， 并 对 结果 进行 简要 分 析 ， 对 遇 到 的 故 
障 和 解决 方法 进行 记录 并 分 享 。 
可 参照 教材 完成 实 训 步 又 设计 。 
为 每 一 实 训 任 务 单独 编写 实 训 报 告 并 提交 。 
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1. 实 训 任务 列表 
任务 : 私有 云 ownCloud 安装 与 使 用 。 
2. 实 训 步骤 ( 略 ) 
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项 目 导入 


小 刘 接 到 领导 通知 ， 公 司 打算 近期 对 网 络 系统 进行 整体 升级 ， 要 求 对 公司 网 络 进 行 整 
体 规划 ， 并 尝试 把 业务 应 用 迁移 到 云 服务 器 中 。 


项 目 分 析 


随 着 企业 的 发 展 ， 网 络 规模 在 不 断 增 大 ， 业 务 也 在 逐渐 增加 。 通 常 ， 企 业 网 络 规划 组 
建 时 ， 要 对 现 有 网 络 情况 进行 调查 和 评估 ， 并 进行 需求 分 析 ， 明 确 当 前 网 络 的 弱点 和 企业 
对 新 网 络 的 各 项 需求 ， 来 进行 相应 的 设计 升级 。 

设计 时 ， 对 网 络 拓扑 、 地 址 、 主 机 名 称 等 进行 合理 的 规划 ; 要 选择 当前 的 主流 技术 产 
品 ， 并 保证 在 未 来 的 一 到 三 年 内 不 会 落伍 ; 要 综合 考虑 性 能 和 价格 ， 进 行 产品 的 合适 选 
型 ; 考虑 到 未 来 一 段 时 间 企业 的 发 展 ， 还 需要 为 未 来 进行 一 定 的 预 留 。 

在 云 技术 的 选择 上 ， 则 要 对 企业 需求 进行 评估 ， 确 定 是 建设 私有 云 还 是 使 用 公有 云 。 
为 了 保证 企业 业务 的 正常 运行 ， 原 服务 器 不 改动 继续 运行 ， 并 在 自 建 的 私有 云 主机 或 者 先 

择 的 公有 云 主机 上 进行 配置 和 测试 。 

本 项 目 要 求 ， 结 合 书 中 讲述 的 内 容 ， 设 计 和 实施 在 虚拟 机 或 者 云 主 机 上 配置 新 的 服务 

器 的 一 系列 任务 ， 并 编写 综合 实 训 报告 。 


能 力 目标 

能 够 根据 企业 需求 进行 合理 的 规划 设计 。 

能 够 根据 需求 进行 公共 云 平台 的 选择 或 私有 云 平台 的 搭建 。 
能 够 在 虚拟 机 或 云 主 机 上 配置 和 部 署 企 业 应 用 


知识 目标 
了 解 进行 网 络 规 划 的 基本 知识 。 
了 解 服务 器 选 型 的 知识 ， 
任务 一 : 服务 器 与 项 目 规 划 设计 
知识 储备 


6.1 进行 需求 调研 与 系统 规划 设计 的 方法 


在 工作 中 ， 所 有 的 项 目 最 开始 要 做 的 ， 是 可 行 性 分 析 和 需求 分 析 。 可 行 性 分 析 是 判断 
此 项 目 能 不 能 做 ， 挣 不 挣 钱 ， 需 求 分 析 是 确定 项 目 要 达成 什么 样 的 效果 、 满 足 什么 样 的 需 
求 。 所 有 的 案例 ， 最 开始 的 项 目 描述 ， 就 是 需求 分 析 的 简化 版 。 

进行 需求 分 析 之 前 ， 要 确认 各 自 的 角色 。 一 般 所 说 的 甲 方 ， 是 要 出 钱 进行 项 目 建设 的 
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项 目 六 综合 实 训 全 


公司 和 企业 ;乙方 则 是 承接 项 目 并 完成 此 项 目的 对 象 。 工 程 师 的 定位 是 乙方 ， 要 对 甲 方 的 
项 目 需求 进行 分 析 ， 完 成 需求 调研 和 系统 的 规划 设计 。 


1. 基本 原则 


从 充分 调查 入 手 ， 充 分 了 解 用 户 业务 活动 和 用 户 信息 需求 ; 在 调查 分 析 的 基础 上 ， 在 
充分 考虑 需求 与 约束 (经 费 、 工 作 基础 与 技术 等 方面 ) 的 前 提 下 ， 对 网 络 系统 组 建 与 信息 系 
统 开发 的 可 行 性 进行 充分 的 论证 ， 避 免 言 目 性 ， 运 用 系统 的 概念 ， 完 成 网 络 工程 技术 方案 
的 规划 与 设计 。 

2. 网 络 用 户 调查 与 网 络 工程 需求 分 析 


(1) 用 户 调查 。 

需求 分 析 是 设计 、 建 设 、 运 行 网 络 系统 的 关键 。 要 建设 项 目 ， 先 要 对 甲 方 的 用 户 进行 
走访 和 问卷 调查 ， 了 解 用 户 目前 的 工作 状态 、 对 项 目的 预期 、 当 前 存在 的 问题 等 内 容 。 主 
要 的 任务 是 用 户 调查 和 应 用 需求 调查 。 

(2) 网 络 节点 地 理 位 置 分 布 情况 。 

应 当 了 解 甲 方 的 用 户 数量 及 分 布 的 位 置 、 建 筑 物 内 部 布局 结构 、 信 息 点 的 位 置 、 建 筑 
物 群 的 情况 。 这 些 信 息 是 最 终 确 定 网 络 规模 、 布 局 、 拓 扑 结构 以 及 结构 化 布线 方案 的 重要 
依据 。 

(3) 应 用 概要 分 析 。 

对 甲 方 需要 使 用 的 Internet 或 Intranet 服务 、 数 据 库 服务 和 其 他 网 络 基础 服务 系统 进行 
调查 和 分 析 。 

(4) 网 络 需 求 详细 分 析 。 

网 络 需求 详细 分 析 主 要 包括 网 络 总 体 需求 分 析 、 综 合 布线 需求 分 析 、 网 络 可 用 性 与 可 
靠 性 分 析 、 网 络 安全 性 分 析 ， 以 及 网 络 工程 造价 估算 等 。 


3. 网 络 总 体 设计 基本 方法 


(1) 网 络 工程 设计 总 体 目标 与 设计 原则 。 

网 络 工程 建设 必须 首先 明确 用 户 的 实际 需求 ， 统 一 规划 ， 分 期 建设 ， 选 择 适合 的 技 
术 ， 确 保 网 络 工程 建设 的 优先 性 、 可 用 性 、 可 靠 性 、 可 扩展 性 与 安全 性 。 因 此 ， 网 络 设计 
的 原则 是 实用 性 、 开 放 性 、 高 可 靠 性 、 安 全 性 、 先 进 性 与 可 扩展 性 。 

(2) 网 络 结构 与 拓扑 结构 设计 方法 。 

大 型 和 中 型 的 网 络 结构 必须 采用 分 层 的 设计 思想 ， 这 是 解决 网 络 系统 规模 、 结 构 和 技 
术 的 复杂 性 的 最 有 效 方法 。 

对 大 型 网 络 结构 ， 可 以 设计 为 三 层 结构 体系 。 底 层 是 接 入 层 ， 通 过 交换 机 提供 大 量 的 
端口 接 入 和 快速 的 本 地 数据 交换 ， 中 间 层 是 汇聚 层 ， 使 用 三 层 交 换 机 把 一 个 个 网 段 互 联 汇 
聚 成 更 大 规模 的 区 域 ， 并 对 区 域 进行 VLAN 管理 、 安 全 管理 、 流 量 管理 等 管理 任务 ， 最 上 
层 是 核心 层 ， 承 载 整个 网 络 的 连接 通信 ， 作 为 信息 交流 主干 网 ， 并 连接 外 界 互联 网 ， 在 此 
区 域 部 署 服 务 器 、 防 火 墙 、 入 侵 检测 等 ， 是 整个 网 络 的 核心 功能 区 。 
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对 于 规模 小 一 些 的 网 络 ， 可 以 把 汇聚 层 和 接 入 层 功能 合 一 ， 这 就 是 两 层 结构 体系 ; 如 
果 网 络 规模 非常 小 ， 那 么 就 不 需要 考虑 分 层 的 问题 。 

是 否 需 要 分 成 三 层 结构 体系 组 建 的 经 验 数据 是 : 如 果 节 点 数 为 250~5000 个 ， 一 般 需 
要 按 三 层 结构 来 设计 ， 如 果 节 点 为 100~500 个 ， 可 以 设计 为 两 层 网 络 ， 节 点 直接 通过 汇聚 
层 的 路 由 器 或 交换 机 接 入 ; 如 果 节 点 数 为 100 个 以 内 ， 也 可 以 不 考虑 网 络 分 层 ， 直 接 做 交 
换 机 堆 释 ， 或 者 级 联 ， 来 实现 组 网 接 入 。 

网 络 系统 分 层 设计 的 另 一 个 好 处 ， 是 可 以 方便 地 分 配 和 规划 带宽 ， 有 利于 均衡 负荷 ， 
提高 网 络 效率 。 根 据 实际 经 验 总 结 : 层次 之 间 的 上 联 带宽 与 下 一 级 带宽 之 比 ， 一 般 控 制 在 
1:20 或 者 1:10 之 间 。 

例如 ， 如 果 一 个 接 入 交换 机 有 24 个 10/100Mb/s 端口 ， 那 么 上 联 带 宽 可 以 控制 在 
(24x100) 二 20 二 120Mb/s， 留 有 一 个 余 量 后 ， 一 般 定 为 200Mb/s。 如 果 有 10 个 规模 相同 的 
接 入 交换 机 ， 那 么 总 的 上 联 带宽 可 以 选择 2Gb/s。 

这 样 ， 在 进行 网 络 设备 选择 时 ， 就 可 以 做 到 有 的 放 矢 。 


6.2 ”网 络 服务 器 选 型 


网 络 服务 器 的 选 型 是 网 络 系统 建设 的 重要 内 容 之 一 。 

从 主机 硬件 角度 看 ， 网 络 服务 器 可 以 按照 主机 硬件 体系 结构 、 硬 件 性 能 与 使 用 的 关键 
技术 进行 分 类 。 

1. 按 体系 结构 选择 


按照 网 络 服务 器 主机 的 硬件 体系 结构 分 类 ， 可 以 分 为 如 下 两 种 。 

(1) 基于 CISC 处 理 器 的 Intel 结构 的 PC 服务 器 。 

(2) 具有 RISC 结构 处 理 器 的 服务 器 。 

各 种 大 型 中 型 计算 机 和 超级 服务 器 都 采用 RISC 结构 的 处 理 器 ， 操 作 系 统 通常 采用 
Unix 或 者 Linux。 


2. 按 应 用 规模 选择 


按照 网 络 应 用 规模 分 类 ， 网 络 服务 器 可 以 分 为 如 下 几 种 。 

(1) 基础 级 服务 器 。 

(2) 工作 组 级 服务 器 。 

(3) 部 门 级 服务 器 。 

(4) 企业 级 服务 器 。 

基础 级 服务 器 一 般 是 支持 1 个 CPU、 配 置 较 低 的 PC 服务 器 。 一 般 应 用 如 办 公 室 文件 
与 打印 机 共享 的 小 型 局 域 网 服务 器 。 

工作 组 级 服务 器 一 般 支 持 1~2 个 CPU， 配 置 热 拔 插 大 容量 硬盘 、 备 用 电源 等 ， 具 有 较 
好 的 数据 处 理 能 力 、 容 错 性 和 可 扩展 性 ， 适 用 于 处 理 数据 量 大 、 高 处 理 速度 和 可 靠 性 要 求 
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较 高 的 应 用 领域 ， 可 用 于 Intemet 接 入 ， 也 可 用 于 替代 传统 企业 级 PC 服务 器 的 升级 。 

部 门 级 服务 器 一 般 支 持 2~4 个 CPU， 采 用 对 称 多 处 理 (SMP) 技 术 ， 配 置 热 拔 插 大 容量 
硬盘 、 备 用 电源 等 ， 具 有 较 好 的 数据 处 理 能 力 、 容 错 性 和 可 扩展 性 ， 适 合作 为 中 小 型 网 络 
的 应 用 服务 器 、 小 型 数据 库 服务 器 、Web 服务 器 。 

企业 级 服务 器 一 般 支持 4-8 个 CPU， 采 用 最 新 的 CPU 和 对 称 多 处 理 技术 ,支持 双 
PCI 通道 与 高 内 存 带宽 ， 配 置 大 容量 热 拔 插 硬 盘 、 备 用 电源 ， 并 且 关键 部 件 有 宛 余 ， 具 有 
较 好 的 数据 处 理 能 力 、 容 错 性 和 可 扩展 性 。 


3. 按 服务 器 支持 的 技术 选择 


为 了 提高 网 络 服务 器 的 性 能 ， 各 种 服务 器 都 在 设计 中 采用 了 不 同 的 技术 。 

(1) 对 称 多 处 理 (Symmetric Multi-Processing，SMP) 技 术 。 

对 称 多 处 理 技术 是 指 在 一 个 计算 机 上 汇集 了 一 组 处 理 器 (多 CPU)， 各 CPU 之 间 共 享 内 
存 子 系统 以 及 总 线 结构 。 在 对 称 多 处 理 系统 中 ， 系 统 资源 被 系统 中 所 有 的 CPU 共享 ， 工 
作 负 载 能 够 均匀 地 分 配 到 所 有 可 用 处 理 器 上 ， 从 而 可 以 提供 更 强大 的 任务 处 理 能 力 。 在 多 
CPU 结构 的 服务 器 中 ， 是 否 采 用 对 称 多 处 理 技术 是 十 分 重要 的 一 个 指标 。 

(2) 集群 (Cluster) 技 术 。 

集群 (Cluster) 技 术 是 向 一 组 独立 的 计算 机 提供 高 速 通信 线路 ， 组 成 一 个 共享 数据 存储 
空间 的 服务 器 系统 ， 提 高 了 系统 的 数据 处 理 能 力 。 集 群 将 很 多 服务 器 集中 起 来 ， 一 起 进行 
同一 种 服务 ， 在 客户 端 看 来 就 像 是 只 有 一 个 服务 器 。 当 集群 中 多 台 计 算 机 进行 并 行 计算 
时 ， 可 以 获得 很 高 的 计算 速度 ， 也 可 以 用 多 个 计算 机 做 备份 ， 从 而 使 得 任何 一 个 机 器 出 现 
故障 时 ， 整 个 系统 还 是 能 正常 运行 。 

当 集 群 中 的 应 用 出 现 故 障 时 ， 其 他 的 某 台 服务 器 会 接 蔡 这 个 服务 器 的 任务 ， 接 管 位 于 
共享 磁盘 柜上 的 数据 ， 进 而 使 应 用 重新 正常 运转 。 因 此 ， 集 群 技术 可 以 大 大 提高 服务 器 的 
可 靠 性 、 可 用 性 和 容 灾 能 力 。 

(3) 非 统 一 内 存 访问 (Non-Uniform Memory Access，NUMA) 技 术 。 

非 统一 内 存 访问 (NUMA) 是 一 种 用 于 多 处 理 器 的 电脑 记忆 体 设 计 ， 内 存 访问 时 间 取 决 
于 处 理 器 的 内 存 位 置 。 在 NUMA 下 ， 处 理 器 访问 它 自己 的 本 地 存储 器 的 速度 比 非 本 地 存 
储 器 (存储 器 的 位 置 到 另 一 个 处 理 器 之 间 共 享 的 处 理 器 或 存储 器 ) 快 一 些 。 

NUMA 架构 在 逻辑 上 遵循 对 称 多 处 理 (SMP) 架 构 。NUMA 通过 提供 分 离 的 存储 器 给 各 
个 处 理 器 ， 避 免 多 个 处 理 器 访问 同一 个 存储 器 产生 的 性 能 损失 ， 来 试图 解决 这 个 问题 。 对 
于 涉及 到 分 散 的 数据 的 应 用 (在 服务 器 和 类 似 于 服务 器 的 应 用 中 很 常见 )，NUMA 可 以 通过 
一 个 共享 的 存储 器 提高 性 能 至 na 倍 ， 而 na 大 约 是 处 理 器 (或 者 分 离 的 存储 器 ) 的 个 数 。 

(4) 高 性 能 存储 (High Performance Storage System，HPSS) 技 术 。 

存储 能 力 是 衡量 服务 器 性 能 与 选 型 的 主要 指标 之 一 。 评 价 高 性 能 存储 技术 的 指标 主要 
是 存储 IO 速度 和 磁盘 容量 。 由 于 服务 器 容量 不 断 增 多 ， 硬 盘 的 存 取 速度 经 常会 成 为 服务 
器 的 瓶颈 。 要 解决 这 个 问题 ， 从 存储 系统 总 线 上 必须 采用 快速 的 磁盘 访问 技术 ， 同 时 采用 
独立 磁盘 元 余 阵 列 (Redundant Array of Independent Disks，RAID) 技 术 ， 将 若干 个 硬盘 驱动 
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器 组 成 一 个 整体 ， 由 阵列 管理 器 管理 。 在 提高 磁盘 容量 的 基础 上 ， 通 过 改善 并 行 读 写 能 
力 ， 提 高 硬盘 的 存储 能 力 和 吞吐 量 。 通 过 磁盘 容错 处 理 ， 提 高 系统 的 可 靠 性 。 智 能 IO 系 
统 负责 中 断 处 理 、 缓 冲 区 存储 、 数 据 传 输 ， 从 而 达到 均衡 负荷 、 提 高 系统 效率 的 目的 。 

高 性 能 存储 系统 HPSS 是 为 那些 由 并 行 计算 机 、 超 级 计算 机 或 者 高 端 工作 站 组 成 的 网 
络 设计 的 存储 管理 系统 ， 在 这 种 系统 中 转移 大 容量 视频 数据 或 科学 计算 产生 的 大 量 数据 
时 ， 需 要 极 高 的 可 靠 性 ， 这 时 ， 就 可 以 利用 高 性 能 存储 系统 来 实现 文件 转移 。 

(5) 服务 处 理 器 与 Intel 服务 器 控制 技术 (Intel Server Control，ISC)。 

ISC 服务 器 控制 ， 是 Intel 的 服务 器 管理 软件 ， 只 适用 于 使 用 Intel 架构 的 带 有 集成 管 
理 功能 主板 的 服务 器 。 采 用 这 种 技术 后 ， 用 户 在 一 台 普 通 的 客户 机 上 ， 就 可 以 监测 网 络 上 
所 有 使 用 Intel 主板 的 服务 器 ， 监 控 和 判断 服务 器 的 工作 状态 是 否 正常 。 一 旦 服务 器 内 部 硬 
件 传感器 进行 实时 监控 或 第 三 方 硬件 中 的 任何 一 项 出 现 错误 ， 就 会 报警 提示 管理 人 员 。 并 
且 ， 监 测 端 和 服务 器 端 之 间 的 网 络 可 以 是 局 域 网 ， 也 可 以 是 广域网 ， 可 直接 通过 网 络 对 服 
务 器 进行 启动 、 关 闭 或 重新 置 位 ， 极 大 地 方便 了 管理 和 维护 工作 。 

(6) 应 急 管理 端口 (Emergence Management Port，EMP) 技 术 。 

应 急 管理 端口 是 服务 器 主板 上 所 带 的 一 个 用 于 远程 管理 服务 器 的 接口 。 远 程控 制 计 算 
机 可 以 通过 网 络 与 服务 器 相连 ， 控 制 软件 安装 在 控制 计算 机 上 。 远 程控 制 机 通过 EMP 
Console 控制 界面 ， 可 以 对 服务 器 进行 应 急 管理 任务 ， 例 如 打开 或 关闭 服务 器 的 电源 、 重 
新 设置 服务 器 、 监 测 服务 器 内 部 情况 等 ， 这 样 技术 支持 人 员 就 可 以 在 任何 地 点 及 时 解决 服 
务 器 发 生 的 硬件 故障 了 。 

EMP 技术 是 一 种 很 好 的 实现 快速 服务 和 节省 维护 费用 的 技术 手段 。 

(7) 热 插 拔 技 术 (Hot-Plugging 或 Hot Swap)。 

热 插 拔 即 带电 插 拔 ， 热 插 拔 功能 就 是 允许 用 户 在 不 关闭 系统 ， 不 切断 电源 的 情况 下 取 
出 和 更 换 损坏 的 硬盘 、 电 源 或 板 卡 等 部 件 ， 从 而 提高 了 系统 对 灾难 的 及 时 恢复 能 力 、 扩 展 
性 和 灵活 性 等 ， 具 体 又 可 以 分 为 热 蔡 换 (Hot Replacement)、 热 添加 (Hot Expansion) 和 热 升级 
(Hot Upgrade) 等 。 


4. 按 性 能 选择 


网 络 服务 器 选 型 的 重要 依据 是 服务 器 的 性 能 。 服 务 器 的 性 能 主要 表现 在 : 运算 处 理 能 
力 、 磁 盘存 储 能 力 、 高 可 用 性 、 可 管理 性 与 可 扩展 性 等 。 

(1) 运算 处 理 能 力 。 

计算 机 的 性 能 在 很 大 程度 上 由 CPU 的 性 能 决定 ， 而 CPU 的 性 能 主要 体现 在 其 运行 程 
序 的 速度 上 。 影 响 运行 速度 的 性 能 指标 包括 CPU 的 工作 频率 、Cache 容量 、 指 令 系 统 和 好 
辑 结 构 等 参数 。 

CPU 的 工作 频率 越 高 ，CPU 处 理 数据 的 速度 就 越 快 。 工 作 频 率 和 实际 的 运算 速度 存在 
一 定 的 关系 ， 但 并 不 是 一 个 简单 的 线性 关系 。 

如 果 CPU1 的 主 频 为 M1，CPU2 的 主 频 为 M2，CPU1 与 CPU2 采用 相同 的 技术 ， 并 
且 M2>M1， 配 置 CPU2 比 配 置 CPU1 服务 器 性 能 提高 (M2-M1)/M1x50%， 这 就 是 CPU 的 
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简单 地 说 ， 就 是 同样 技术 的 CPU， 提 升 的 实际 处 理 能 力 是 数值 差距 的 一 半 左 右 。 

提升 运算 处 理 能 力 的 常见 方法 是 使 用 多 CPU， 一 般 来 说 ，CPU 多 ， 处 理 能 力 就 更 强 
但 是 同样 ， 也 不 是 简单 的 线性 关系 。 

(2) 磁盘 存储 能 

磁盘 存储 能 力 表现 在 磁盘 存储 容量 和 IO 服务 速度 上 ， 而 决定 这 两 个 参数 的 因素 又 在 
于 磁盘 接口 总 线 与 硬盘 两 个 方面 。 

存储 分 为 内 置 存储 和 外 挂 存储 。 其 中 ， 外 挂 存储 根据 连接 的 方式 ， 分 为 直 连 式 存 储 
(Direct-Attached Storage，DAS) 和 网 络 化 存储 (Fabric-Attached Storage，FAS)。 而 网 络 化 存 
储 根据 传输 协议 ， 又 分 为 网 络 接 入 存储 (Network-Attached Storage，NAS) 和 存储 区 域 网 络 
(Storage Area Network，SAN)。 

在 中 小 企业 应 用 中 ， 直 连 式 存储 DAS 是 最 主要 的 应 用 模式 ， 存 储 系统 被 直 连 到 应 用 
的 服务 器 中 ;， 网络 接 入 存储 NAS 也 通常 被 称 为 附加 存储 ， 指 存储 设备 通过 标准 的 网 络 拓 
扑 结构 (例如 以 太 网 ) 添 加 到 一 群 计算 机 上 ;， 存储 区 域 网 络 SAN， 是 通过 光纤 通道 交换 机 连 
接 存 储 阵列 和 服务 器 主机 ， 最 后 成 为 一 个 专用 的 存储 网 络 。 

(3) 系统 的 高 可 靠 性 。 

系统 高 可 靠 性 通常 用 MTBF( 平 均 无 故障 时 间 ) 来 衡量 ， 优 势 也 用 n 个 9 来 描述 。 

如 果 系 统 高 可 靠 性 达到 99.9%， 那 么 每 年 的 停机 时 间 夺 8.8 小 时 ;系统 高 可 靠 性 达到 
99.99%， 那 么 每 年 的 停机 时 间 夺 53 分 钟 ， 系 统 高 可 靠 性 达到 99.999%， 那 么 每 年 的 停机 时 
间 夺 5 分 钟 。 

(4) 可 管理 性 。 

使 用 工具 进行 管理 工作 的 难 易 程度 。 

(5) 可 扩展 性 。 

考虑 到 企业 在 未 来 一 段 时 期 的 发 展 ， 提 前 做 好 资源 预 留 和 增加 新 设备 的 准备 。 


6.3 ”设计 时 要 考虑 的 其 他 问题 


1. 网 络 安全 问题 


网 络 安全 技术 涉及 的 基本 内 容 包括 网 络 防 攻击 技术 、 网 络 安全 漏洞 与 对 策 的 研究 、 网 
络 中 的 信息 安全 问题 、 网 络 内 部 安全 防范 、 网 络 防 病毒 、 垃 圾 邮件 、 灰 色 软 件 与 流氓 软 
件 、 网 络 数据 备份 恢复 与 灾难 恢复 等 。 

进行 网 络 系统 安全 设计 时 ， 要 进行 全 局 考虑 、 整 体 设计 。 


2. IIP 地 址 规划 问题 


当 网 络 规模 比较 大 时 ， 需 要 进行 IP 地 址 规划 ， 以 免 工 程 实施 和 后 续 运 营 管理 中 ， 出 现 
冲突 和 混乱 。IP 地 址 是 网 络 最 基础 的 设置 ， 如 果 I 人 P 地 址 配置 出 现 问题 ， 那 么 网 络 是 不 可 
能 正常 运行 的 。 
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通常 ， 企 业 无 法 得 到 足够 使 用 的 公 网 地 址 ， 此 时 ， 可 以 根据 网 络 规模 ， 选 择 10.0.0.0/8 
的 A 类 保留 网 段 ， 进 行 子 网 划分 ， 或 者 172.16.0.0/16 ~ 172.31.0.0/16 的 B 类 保留 网 段 进行 
子 网 划分 。B 类 网 段 可 以 划分 254 个 C 类 规模 的 子 网 、A 类 网 段 可 以 划分 65534 个 C 类 的 
子 网 。 

工程 实践 中 ， 每 个 VLAN 网 段 ， 通 常 主机 数量 不 超过 60(40 左右 为 佳 )， 为 每 个 网 段 
分 配 一 个 C 类 规模 的 网 段 ， 可 以 容纳 254 台 主 机 ，IP 地 址 是 很 富裕 的 。 在 网 段 够 用 的 前 提 
下 ， 不 要 害怕 浪费 。 当 然 ， 分 配 一 个 较 小 的 刚刚 够 用 并 略 有 富余 的 网 段 也 是 可 以 的 ， 这 要 
看 管理 员 的 设计 习惯 。 

各 VLAN 之 间 需 要 使 用 三 层 交 换 机 或 者 路 由 器 进行 路 由 才 可 以 通信 。 

在 企业 网 边界 需要 配置 NAT( 网 络 地 址 转换 )， 把 内 网 地 址 和 获得 的 少量 公 网 地 址 进行 
转换 ， 不 然 不 能 正常 访问 外 界 互联 网 ， 因 为 内 网 地 址 通常 是 不 能 在 公 网 通信 的 ， 所 以 发 送 
出 去 的 数据 包 ， 要 换 成 公 网 地 址 ， 回 送 的 数据 包 ， 再 换 回来 内 网 地 址 。 

3. 服务 器 部 署 问题 


选择 购买 什么 样 的 服务 器 ， 要 根据 需求 来 进行 选择 ， 在 每 一 台 服 务 器 上 部 署 什么 服 
务 ， 也 需要 规划 ; 另外， 服务 器 部 署 在 网 络 的 什么 位 置 ， 面 向 公 网 服务 还 是 面向 内 网 服 
务 ， 也 是 必须 考虑 的 问题 在 进行 安全 设计 时 ， 防 火 墙 、 入 侵 检测 、 日 志 服务 器 、 流 量 控 
制 设备 、 过 滤 策 略 制订 等 ， 都 与 服务 器 的 部 署 直接 相关 。 


任务 二 : 基于 企业 网 络 构建 企业 站 点 


本 任务 需要 综合 运用 学 到 的 Linux 系统 安装 使 用 、Web 服务 器 配置 、DNS 服务 器 配 
置 、DHCP 服务 器 配置 以 及 服务 器 的 种 种 管理 技巧 等 知识 和 实践 技能 ， 来 构建 和 管理 一 个 
中 小 型 企业 网 络 。 


知识 储备 








6.4 综合 实 训 的 目的 和 要 求 


1. 综合 实 训 的 目的 

(1) 培养 学 生 深入 认识 和 使 用 计算 机 网 络 ， 并 利用 计算 机 网 络 知识 处 理 和 解决 实际 问 
题 的 能 力 。 培 养 学 生 协 作 学 习 、 团 队 合作 的 素质 。 

(2) 培养 学 生 使 用 Linux 网 络 操作 系统 组 建 企 业 部 门 级 工作 组 网 络 ， 使 用 TCP/IP 协议 
进行 计算 机 通信 ， 使 用 Linux 网 络 操作 系统 管理 局 域 网 、 提 供 Internet 服务 。 

(3) 培养 学 生 学 会 使 用 Linux 系统 组 建 LAMP 环境 ， 进 行 网 站 设置 、 配 置 DNS 服务 
器 /DHCP 服务 器 等 网 络 服务 。 


.324 1 


项 目 六 综合 实 训 人 
(4) 培养 学 生 在 工作 中 灵活 运用 学 到 的 管理 技能 和 知识 进行 管理 的 能 力 。 
通过 本 综合 性 任务 课程 的 学 习 ， 让 学 生 了 解 完成 一 个 本 职业 技术 领域 基于 Linux 网 络 
操作 系统 的 由 型 工作 任务 的 完整 工作 过 程 ， 掌 握 所 需要 的 方法 ， 并 培养 社会 能 力 ， 养 成 良 
好 的 职业 习惯 与 素养。 
通过 本 综合 实 训 任务 ， 培 养 学 生 系统 、 完 整 、 具 体 地 解决 实际 问题 的 职业 综合 能 力 ， 
具备 收集 信息 、 制 订 计划 、 实 施 计划 和 自我 评价 的 能 力 ， 锻 炼 团队 工作 的 能 力 ， 学 生 通过 
综合 实 训 完整 的 工作 过 程 ， 可 以 掌握 实际 的 Linux 系统 网 络 项 目的 “ 建 网 、 管 网 ”核心 能 
力 和 关键 能 
2. 综合 实 训 的 要 求 


综合 实 训 项 目的 具体 要 求 如 下 。 

(1) 对 实 训 任 务 进 行 充分 讨论 ， 理 解 任务 并 进行 工作 规划 与 分 工 。 

(2) 充分 了 解 自 己 的 学 习 能 力 ， 针 对 拟 完成 任务 的 设计 功能 要 求 与 规范 ， 查 阅 资 料 ， 
了 解 相关 系统 设计 的 技术 情况 ， 主 动 参与 团队 各 阶段 的 讨论 ， 表 达 自 己 的 观点 和 见解 。 

(3) 在 学 习 过 程 中 ， 认 真 负责 ， 在 关键 问题 与 环节 上 下 功夫 ， 充 分 发 挥 自己 的 主动 
性 、 创 造 性 来 解决 技术 上 与 工作 中 的 问题 ， 并 培养 整个 工作 过 程 中 的 团队 协作 意识 。 

(4) 认真 撰写 资料 搜集 、 需 求 分 析 、 网 络 规划 、 任 务实 施 、 测 试 与 纠 错 各 阶段 的 相关 
作业 文件 和 工作 记录 ， 并 学 会 根据 学 习 与 工作 过 程 的 作业 文件 和 记录 及 时 总 结 。 

(5) 汇总 阶段 任务 文档 ， 完 成 综合 实 训 报告 。 


6.5 ”中 小 型 企业 网 站 组 建 与 管理 综合 实 训 内 容 


1. 实 训 任 务 网 络 拓扑 
实 训 任 务 的 网 络 拓扑 如 图 6-1 所 示 。 








Web DNS DHCP 
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图 6-1 实 训 工作 任务 的 网 络 拓扑 
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Web:192.168.1.10 
DNS:192. 168. 1.11 
DHCP:192. 168. 1. 12 
网 关 :192. 168.1.1 





2. 任务 要 求 


(1) 安装 Linux 系统 。 
正确 安装 Linux 操作 系统 ， 正 确 设置 防火 墙 与 SElinux， 正 确 使 用 图 形 界面 软件 ， 正 确 
使 用 命令 界面 。 
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(2) 使 用 Linux 系统 。 
正确 设置 目录 操作 ， 正 确 创建 文件 ， 正 确 使 用 文件 的 查看 与 编辑 ， 正 确 使 用 vi， 正 确 
添加 用 户 与 组 ， 正 确 设置 权限 。 
(3) 管理 Linux 系统 。 
正确 使 用 文件 系统 ， 正 确 进行 磁盘 管理 ， 正 确 进行 文件 的 归档 与 压缩 ， 正 确 管理 RPM 
软件 包 ， 正 确 管理 进程 和 内 存 ， 正 确 配置 网 络 参数 ， 正 确 查 看 网 络 信息 。 
(4) 配置 与 管理 DHCP 服务 器 。 
正确 安装 DHCP， 正 确 配 置 DHCP 服务 器 ， 正 确 配置 DHCP 客户 端 ， 正 确 配置 DHCP 
超级 作用 域 。 
(5) 配置 与 管理 DNS 服务 器 。 
正确 安装 DNS 服务 ， 正 确 配 置 常规 DNS 服务 器 。 正 确 配置 主 DNS 服务 器 ， 正 确 配 
置 辅助 DNS 服务 器 ， 正 确 配置 子 域 DNS 服务 器 。 正 确 配置 DNS 客户 端 ， 正 确 测试 
DNS。 

(6) 配置 与 管理 企业 网 站 。 

正确 安装 、 启 动 Apache 服务 ， 正 确 设置 Apache 服务 器 ， 正 确 配 置 虚拟 主机 ， 正 确 配 
置 用 户 身 份 认证 。 

(7) 制订 服务 器 安全 管理 措施 并 实施 。 

(8) 制订 服务 器 备份 策略 计划 并 实施 。 


任务 实践 





6.6” 实 训 任 务 步 又 


1. 安装 Linux 系统 


(1) 安装 Linux， 创 建 虚拟 机 ， 磁 盘 大 小 20GB， 内 存 大 小 512MB， 其 他 任意 。 
[ 选 做 ] 分 区 规划 如 下 : 

swap 分 区 大 小 为 2GB 

/boot 分 区 大 小 为 200MB 

/分 区 大 小 为 6GB 

/usr 分 区 大 小 为 4GB 

/var 分 区 大 小 为 4GB 

/home 分 区 大 小 为 剩 下 的 空间 ， 约 4GB 
(2) 设置 防火 墙 。 
(3) 设置 SELinux。 
(4) 添加 用 户 账号 。 
(5) 安装 CentOS 7Linux 操作 系统 。 
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2. 使 用 Linux 系统 


用 1s、mkdir、rmmdir、cd、mv、rm、cp 等 文件 目录 管理 指令 。 
使 用 ls 指令 查看 /目录 下 的 内 容 。 

使 用 mkdir 指令 在 用 户主 目录 中 创建 三 个 目录 ， 分 别 以 A、B、C 为 名 称 。 
使 用 mmdir 指令 删除 C 目录 。 

用 cd 指令 进入 A 目录 。 

使 用 mv 指令 将 以 B 目录 移动 至 A 目录 。 

使 用 rm 指令 删除 B 目录 。 

使 用 cp 指令 将 用 户主 目录 下 的 bashrc 文件 拷贝 至 A 目录 。 

用 mount 和 umount 指令 。 

使 用 mount 指令 加 载 光驱 设备 ， 将 光驱 加 载 至 /mnt/cdrom。 

用 umount 指令 将 光驱 和 卸载 。 

加 载 U 盘 。 

使 用 gzip、gunzip 、tar 等 命令 。 

使 用 gzip 指令 将 用 户主 目录 下 的 bashrc 文件 压缩 成 bashrc.gz。 

用 gunzip 指令 将 bashrc.gz 文件 解压 。 

用 tar 指令 对 用 户主 目录 进行 操作 (压缩 、 解 压缩 、 查 看 内 部 文件 )。 
本 编辑 命令 。 

用 vi， 编 辑 一 篇 英文 文章 (内 容 不 少 于 20 行 )， 练 习 vi 操作 命令 。 
用 cat 查看 文件 。 

用 more 命令 。 

用 less 命令 。 

用 head 命令 。 

用 tail 命令 。 

户 与 组 的 管理 。 

用 命令 添加 名 称 为 userl、user2、user3 、user4 的 用 户 。 

使 用 命令 设置 userl、user2、user3 、user4 用 户 的 密码 为 centosuser。 
使 用 命令 删除 user2 和 user4 用 户 。 

使 用 命令 添加 group1、group2 和 group3 三 个 组 。 

使 用 命令 删除 group2 组 。 

使 用 who 和 w 指令 查看 当前 登录 系统 的 用 户 。 

使 用 命令 看 当前 用 户 的 UID 与 GID。 

使 用 命令 查看 当前 使 用 Shell 的 用 户 名 称 。 

使 用 su 指令 从 root 用 户 切换 至 user1， 然 后 切换 回 root 用 户 。 

权限 管理 。 

使 用 chmod 指令 ， 在 Linux 系统 中 设置 指定 文件 的 权限 。 
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第 1 步 : 创建 目录 A、B。 
第 2 步 : 使 用 “ls -1” 指 令 查看 以 上 两 个 目录 的 相关 权限 。 
第 3 步 : 使 用 chmod 指令 ， 要 求 设置 A 目录 仅 为 属 主 拥有 所 有 权限 ， 其 他 用 户 没 有 





任何 权限 。 


第 4 步 : 使 用 chmod 指令 ， 要 求 使 用 设置 B 目录 的 权限 为 属 主 拥有 所 有 权限 ， 组 成 员 


有 读 和 执行 权限 ， 其 他 用 户 没有 任何 权限 。 


@ ”使 用 八进制 数字 法 设置 文件 权限 。 

第 1 步 : 创建 目录 C、D。 

第 2 步 : 使 用 “ls -1” 指 令 查 看 以 上 两 个 目录 的 相关 权限 。 

第 3 步 : 使 用 chmod 指令 ， 要 求 设置 C 目录 的 权限 为 所 有 人 都 拥有 所 有 权限 。 

第 4 步 : 使 用 chmod 指令 ， 要 求 设 置 D 目录 的 权限 为 属 主 拥有 读 写 权 限 ， 组 成 员 有 


读 和 执行 权限 ， 其 他 用 户 没有 任何 权限 。 


@ 使 用 chown 指令 ， 设 置 文件 的 属 主 。 

第 1 步 : 创建 目录 下 。 

第 2 步 : 使 用 “ls -1” 指 令 查看 以 上 两 个 目录 的 相关 权限 。 
第 3 步 : 使 用 chown 指令 将 EE 文件 的 属 主 更 改 为 userl 。 


3. 管理 Linux 系统 


(1) 磁盘 管理 。 
使 用 df、du、mount 等 命令 对 硬盘 进行 管理 。 
[ 选 做 ] 在 虚拟 机 添加 一 块 新 磁盘 ， 使 用 fdisk 进行 分 区 ， 使 用 mount 进行 挂 载 ， 对 分 区 


进行 格式 化 。 
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(2) 软件 包 管 理 。 

使 用 yum 命令 安装 、 查 询 、 撮 载 pm 软件 包 。 

[ 选 做 ]rpm 软件 包 管 理 。 使 用 pm 命令 安装 、 查 询 、 公 载 pm 软件 包 。 
[ 选 做 ] 使 用 软件 源 代码 进行 编译 安装 。 

(3) 配置 常规 网 络 参数 。 

配置 主机 名 。 

修改 下 地 址 、 子 网 掩 码 等 参数 。 

禁用 网 卡 。 

启用 网 卡 。 

使 用 route 命令 设置 网 关 ， 查 看 本 机 路 由 表 。 
使 用 nmtui 命令 进行 网 络 配 置 。 

(4) 设置 DNS( 修 改 resolv.conf)。 


4. 配置 与 管理 DHCP 服务 器 
按照 规划 ， 需 要 构建 一 台 DHCP 服务 器 来 解决 IP 地 址 动态 分 配 的 问题 ， 要 求 能 够 分 
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配 卫 地 址 以 及 网 关 、DNS 等 其 他 网 络 属性 信息 。 
企业 IP 地址 规划 如 下 。 
企业 DHCP 服务 器 他 地址 为 192.168.1.12。 


(1 
(2) 
G) 
(4) 
G5) 
(0) 
(7) 


DNS 
Web 
网 关 


有 务 器 的 域名 为 dns.testweb.com.cn，IP 地 址 为 192.168.1.11。 
肛 务 器 了 P 地 址 为 192.168.1.10。 
也 址 为 192.168.1.1。 


其 他 待 分 配 主 机 地 址 范围 为 192.168.1.2 到 192.168.1.150。 
为 管理 计算 机 分 配 保 留 地 址 : 192.168.1.150。 


排除 


也 址 是 192.168.1.10 ~ 192.168.1.20， 掩 码 为 255.255.255.0。 


5. 配置 与 管理 DNS 服务 器 


企业 已 经 
Internet 上 的 网 


有 自己 的 网 站 ， 员 工 希 望 通过 域名 来 进行 访问 ， 同 时 ， 员 工 也 需要 访问 





站 。 该 企业 已 经 申请 了 域名 testweb.com.cn。 


要 求 在 企业 内 部 构建 一 台 DNS 服务 器 ， 为 局 域 网 中 的 计算 机 提供 域名 解析 服务 。 该 
DNS 服务 器 管理 testweb.com.cn 域 的 域名 解析 。 


(D) 


(2) 
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DNS 


服务 器 的 域名 为 dns.testweb.com.cn，IP 地 址 为 192.168.1.11。 


需要 为 客户 提供 以 下 主机 的 域名 解析 。 

财务 部 域名 (cw.testweb.com.cn: 192.168.1.11)。 
销售 部 域名 (xs.testweb.com.cn: 192.168.1.11)。 
管理 机 域名 (gl.testweb.com.cn: 192.168.1.150)。 
OA 系统 (oa.testweb.com.cn: 192.168.1.11)。 

6. 配置 与 管理 企业 网 站 

企业 网 站 域名 为 www.testweb.com.cn。 

(2) 使 用 192.168.1.13 和 192.168.1.14 两 个 了 P 地 址 ， 创 建 基于 IP 地 址 的 虚拟 主机 。 其 
中 IP 地 址 为 192.168.1.13 的 虚拟 主机 对 应 的 主 目录 为 /varwwwipweb2， 卫 地 址 为 
192.168.1.14 的 虚拟 主机 对 应 的 主 目录 为 /Var/www/ipweb3。 

(3) 创建 基于 xw.testweb.com.cn、xs.testweb.com.cn 和 oa.testweb.com.cn 三 个 域名 的 
虚拟 主机 ， 域 名 为 xw.testweb.com.cn 的 虚拟 主机 对 应 的 主 目录 为 /var/www/xw， 域 名 为 
xs.testweb.com.cn 的 虚拟 主机 对 应 的 主 目录 为 /Var/www/xs， 域 名 为 oa.testweb.com.cn 的 虚 
拟 主 机 对 应 的 主 目录 为 /Var/www/oa。 

(4) 创建 企业 测试 网 站 ， 端 口 地 址 为 8421( 或 自己 选择 一 个 端口 地 址 )。 

7. 安全 管理 

(1) 安装 系统 补丁 程序 (#yum update)。 

(2) 检查 账号 系统 安全 性 。 

(3) 为 用 户 使 用 安全 的 密码 。 

(4) 为 用 户 进行 权限 访问 管理 。 
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(5) 配置 防火 墙 ， 提 升 安全 性 。 
8. 日 常 管理 


(1) 监控 系统 运行 状况 。 

(2) 配置 远程 管理 功能 。 

(3) 添加 定时 任务 。 

(4) 定期 备份 。 

(5) 把 常用 功能 和 操作 写成 Shell 脚本 并 运行 。 
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